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(54) Titre: PROCEDE DE TRANSMISSION D' INFORM ATI ON ET SERVEUR LE METTANT EN OEUVRE 
(57) Abstract 

The invention concerns the combined use of at leas t two communication network s and more precisely confidential data exchange 
to a first data medium user by means of a second data medium via a mechanism synchronising the data media and sending data from 
one medium to the other. The data transmission method on a first medium thus consists in: an operation for opening a communication 
session with means of communication remotely located, o n said first communication me dium; and during said session: an operati on for 
r eceiving confidential information on a jinele address terminal on a w^irf mmmiiniratirm medium: and an operation for transmitting, on 
tfie first communication medium, a confidential message representing the confidential information; an operation for verifying whether the 
confidential message corresponds to the confidential information. 

(57) Abrege 

La presente invention propose l'utilisation combinee d'au moins deux reseaux de communication et plus precisement l'echange 
d' information confidentielle a un usager d'un premier support d'information a Paide d'un deuxieme support d'information par I'intermeciiaire 
d'un mecanisme de synchronisation des supports d'information et de renvoi d'information d'un support a Tautre. Le proc6d6 de transmission 
d'information sur un. premier support comporte ainsi: une operation d'ouverture d'une session de communication avec un moyen de 
communication situ6 a distance, sur led it premier support de communication, et, durant ladite session: une operation de reception d'une 
information confidentielle sur un terminal a adresse unique sur un deuxieme support de communication, et une operation de transmission, 
sur le premier support de communication, d'un message confidence! representant 1' information confidentielle, une operation pour verifier si 
le message confidentiel correspond a T information confidentielle. 
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PROCEDE DE TRANSMISSION D'INFORMATION ET SERVEUR LE 
METTANT EN OEUVRE 



10 La presente invention concerne un procede de transmission 

d'information et un serveur informatique le mettant en oeuvre. Elle permet de 
s'assurer que la personne operant depuis un terminal est une personne autorisee ou 
habilitee. Elle s'applique, en particulier, a la verification d'identite de la personne qui 
accede a un service distant, quel que soit le terminal utilise. Elle permet 

15 d'authentifier I'identite de I'utilisateur, d'authentifier une transaction, de verifier 
I'integrite de cette transaction en la completant du montant de ladite transaction, de 
la quantite achetee, du nom du produit ou du service acquis, et ainsi de permettre le 
paiement de biens ou de services, en ligne, c'est-a-dire au cours d'une 
communication entre systemes informatiques distants. 

20 Des domaines d'application de 1'invention sont, par exempie, le 

controle d'acces, la remise en main propre d'information confidentielle, fa 
certification de transactions ou de paiement de biens ou services sur un reseau 
informatique. 

La mise en oeuvre de la transaction a distance sur reseau pose, 
25 independamment de I'encryptage, le probleme de I* authentication de la personne 
qui la realise, de I'integrite de la transaction et de sa confidentiality. Dans de 
nombreuses applications (commerce electronique, banque a distance, tele travail, 
securite interne des entreprises, securisation de bases de donnees payantes, par 
exempie) et sur tous supports (reseaux informatiques locaux ou distants, par 
30 exempie, respectivement, les reseaux communement appeles «intranet» ou 
« internet, serveurs vocaux, par exempie), ce probleme est crucial. 
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Les dispositifs et precedes de securisation connus dans Tart anterieur 
comme ceux illustres dans le document US-A-5.442.704, qui utilise* une carte a 
memoire, imposent des contraintes materielles importantes et couteuses. 

D'autres dispositifs logiciels. bases sur des systemes d'encryptage 
assurent la confidentialite des donnees sans garantir Identification de la 
personne. 

D'autres dispositifs utilisent un moyen d'authentification. connu sous le 
nom «d'authentifieur» ou de «token», qui calcule a partir de donnees recues au 
cours d'une transaction et d'une cle secrete qu'il conserve en memoire, un mot de 
passe dynamique. Ces dispositifs imposent. de nouveau, des contraintes materielles 
importantes et couteuses. 

La presente invention entend remedier a ces inconvenients. A cet effet, 
la presente invention propose (-utilisation combinee d'au moins deux reseaux de 
communication. 

En d'autres termes, la presente invention propose la transmission, a un 
usager d'un premier support de communication, d une information confidentielle. sur 
un deuxieme-support d'information, preferentiellement securise. avec : 

- un mecanisme de synchronisation des deux communications sur les 
deux reseaux et 

- une operation de renvoi, d un support de communication a I'autre, a 
I'initiative de I'usager, par saisie preferentiellement manuelle, de rinformation 
confidentielle recue sur I'autre support. 

A cet effet, la presente invention vise, selon un premier aspect, un 
precede de transmission d'information sur un premier support de transmission, 
caracterise en ce qu'il comporte : 

- une operation d'ouverture d'une session de communication avec un 
moyen de communication situe a distance, sur ledit premier support de transmission. 

et, durant ladite session : 

. une operation de reception d'une information confidentielle sur 
un terminal a adresse unique sur un deuxieme support de 
transmission, et 
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. une operation de transmission, sur le premier support de 
transmission, d'un message confidentiel representatif de ladite 
information confidentieiie. 
La presente invention vise, seion un deuxieme aspect, un procede de 
5 transmission d'information sur un premier support de transmission, caracterise en ce 
qu'il comporte : 

- une operation d'ouverture, par I'intermediaire d'un terminal a adresse 
unique sur ledit premier support de transmission, d'une session de communication 
avec un moyen de communication situe a distance, 

10 et, durant iadite session : 

. une operation de reception d'une information confidentieiie sur 
le premier support de transmission, et 

. une operation de transmission, sur un deuxieme support de 
transmission, d'un message confidentiel representatif de ladite 
15 information confidentieiie. 

La presente invention vise, selon un troisieme aspect, un procede de 
transmission d'information sur un premier support de communication, caracterise en 
ce qu'ii comporte : 

- une operation d'ouverture, par I'intermediaire d'un premier terminal, 
20 d'une session de communication avec un moyen de communication situe a distance, 

sur ledit premier support de communication, 

- une operation d'ouverture, par Tintermediaire d'un deuxieme terminal, 
d'une session de communication avec un moyen de communication situe a distance, 
sur un deuxieme support de communication, 

25 - lorsque les deux sessions sont ouvertes, une operation de reception 

d'une information confidentieiie sur un desdits supports de communication sur lequel 
!'un des terminaux a une adresse unique, et 

- une operation de transmission, sur I'autre desdits supports de 
communication, d'un message confidentiel representatif de ladite information 

30 confidentieiie. 

La presente invention vise, selon un quatrieme aspect, un procede de 
transmission d'information sur un premier support de transmission, caracterise en ce 
qu'il comporte : 
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- une operation d'ouverture d'une session de communication avec un 
moyen de communication situe a distance, sur iedit premier support d transmission, 

et, durant ladite session : 

une operation de generation d'une information confidentielle et 
5 de transmission de ladite information confidentielle sur un 

deuxieme support de transmission a un terminal possedant un 
adresse unique sur le deuxieme support, 

une operation de reception, sur le premier support de 
transmission, d'un message confidentiel susceptible d'etr 
10 representatif de ladite information confidentielle, et 

. une operation de verification de correspondance entre Iedit 
message confidentiel et ladite information confidentielle. 
La presente invention vise, selon un cinquieme aspect, un procede de 
transmission d'information sur un support de transmission dit "deuxieme", Iedit 
15 support de transmission faisant partie d'un reseau de communication, caracterise n 
ce qu'ii comporte : 

• - une operation de reception, de la part d'un terminal dit "deuxieme", 
d'un premier message representatif : 

. d'un identifiant d'un terminal dit "troisieme" possedant une 
20 adresse unique sur Iedit reseau, 

. d'une information confidentielle, 

■ d'une information representative d'un montant de transaction, 

- une operation de transmission, au troisieme terminal, d'un deuxieme 
message representatif : 

25 . de ladite information confidentielle et 

. dudit montant, 

- une operation de reception d'un troisieme message, de la part dudit 
deuxieme terminal, representatif d'une validation de transaction, et 

- une operation ^incrementation d'un registre correspondant audit 
30 troisieme terminal, d'une valeur representative dudit montant de transaction. 

La presente invention vise, selon un sixieme asp ct, un procede de 
transmission d'information sur un support de transmission dit "deuxieme", Iedit 
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support de transmission faisant partie d'un reseau de communication, caracterise en 
ce qu'il comporte : 

- une operation de reception, de la part d'un terminal dit "deuxieme", 
d'un premier message representatif : 

5 . d'un identifiant d'un terminal dit "troisieme" possedant une 

adresse unique sur ledit reseau, 
. d'une information confidentielle, 

. d'une information representative d'un montant de transaction, 

- une operation de transmission, au troisieme terminal, d'un deuxieme 
10 message representatif : 

. de ladite information confidentielle et 
. dudit montant, 

- une operation de reception d'un troisieme message, de la part dudit 
deuxieme terminal, representatif d'une validation de transaction, et 

15 - une operation decrementation d'un registre correspondant audit 

troisieme terminal, d'une valeur representative d'une duree de la premiere session. 

On observe que, selon les cinquieme et sixieme aspects, de ('invention, 
Poperation decrementation peut avoir lieu avant ou apres I'operation de reception 
d'un troisieme message. 

20 La presente invention vise, selon un septieme aspect, un precede de 

transmission d'information sur un support de transmission dit "deuxieme", ledit 
support de transmission faisant partie d'un reseau de communication, caracterise en 
ce qu'il comporte : 

- une operation de reception, de la part d'un terminal dit "deuxieme", 
25 d'un premier message representatif : 

. d'un identifiant d'un terminal dit "troisieme" possedant une 
adresse unique sur ledit reseau, 
. d'une information confidentielle, 

. d'une information representative d'un montant de transaction, 
30 - une operation de transmission, au troisieme terminal, d'un deuxieme 

message representatif : 

. de ladite information confidentielle et 
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. dudit montant, 

- une operation d 1 incrementation d'un registre correspondant audit 
troisieme terminal, d'une valeur predeterminee. 

La presente invention vise, selon un huitieme aspect, un procede d 
5 transmission d' information, entre un premier terminal et un deuxieme terminal, sur un 
premier support de transmission appartenant a un reseau de communication, 
caracterise en ce qu'il comporte : 

- une operation d'ouverture de session de communication, sur I 
premier support de transmission entre le premier terminal et le deuxieme terminal, et 

]0 - une operation de transmission, de la part du deuxieme terminal a un 

troisieme terminal raccorde a un deuxieme reseau et possedant une adresse unique 
sur ledit deuxieme reseau, d'un premier message representatif d'une information 
confidentielle, 

- une operation de transmission, au troisieme terminal, d'un deuxieme 
15 message representatif de ladite information confidentielle, et 

- une operation de transmission, sur le premier support de 
transmission, en provenance du premier terminal et a destination du deuxieme 
terminal, d'un message representatif de ('information confidentielle. 

Dans chacun des aspects de la presente invention, I'utilisateur, d'une 
20 part, et la transaction, d'autre part, sont done authentifies car la transmission de 
1'information confidentielle, a I'initiative de I'utiiisateur, prouve son identite par la 
reception de cette information confidentielle. De plus, ('engagement de i'utiiisateur 
dans les deux communications, prouve I'utilisation des deux terminaux, 
simultanement, par le merne utilisateur. 
25 Lorsque I'un des reseaux utilises est un reseau de communication 

mobile, la mise en oeuvre de I'invention est entierement nomade, e'est-a-dire qu' He 
peut etre appliquee n'importe ou, par I'utilisateur du reseau de communication 
mobile. 

En outre, ('invention peut etre mise en oeuvre sur n'importe quels 
30 terminaux et est independante du materiel utilise. Elle ne necessite aucune 
adaptation des terminaux actuels, ni modification, ni ajout de p ' ripheriques. 



BNSDOCID: <WO 992361 7 A2 I > 



WO 99/23617 PCT/FR98/02348 

-7- 

La simplicity de mise en oeuvr de la presente invention rend les 
taches d'authentification, de virement, de paiement, intuitives, et ell ne necessite 
aucun apprentissage. 

On observe aussi que I' information confidentielle peut etre un mot de 
5 passe ou un certificat de transaction. 

Selon des caracteristiques particuiieres de chacun des aspects de la 
presente invention exposes ci-dessus : 

- r information confidentielle est representative d'un nombre pseudo- 

aleatoire, 

10 - reformation confidentielle est representative d'un numero de session 

attribue a une session, 

- ('information confidentielle est representative de I'identifiant de 

I'utilisateur, 

- Tinformation confidentielle est representative d'un ou plusieurs 
1 5 nurneros de compte bancaire et/ou de carte, 

- Tinformation confidentielle est representative de I'heure et la date de 
ladite operation d'ouverture de session, et/ou 

- Tinformation confidentielle est modifiee a chacune des sessions. 
Grace a chacune de ces dispositions, reformation confidentielle est 

20 renouvelee a chaque session et son usage est limite a une seule session de 
communication. 

Selon des caracteristiques particuiieres de chacun des aspects de 
1'invention exposes ci-dessus: 

- au cours de Toperation de reception d'une information confidentielle 
25 sur un terminal a adresse unique sur un deuxieme support de communication, on 

recoit, en outre, un montant de transaction, et/ou 

- au cours de Toperation de transmission d'un message confidentiel 
representatif de Tinformation confidentielle, on transmet, en outre, un montant de 
transaction. 

30 Grace a chacune de ces dispositions, Tinvention permet des 

transactions mettant en oeuvre des montants financiers, telles que des achats, des 
r'servations, des echanges, des emprunts, des mises en gages, des cautions ... 
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Selon un neuvieme aspect, la pr'sente invention vis un procede de 
transmission d'information sur un premier support de communication faisant partie 
d'un reseau de communication, caracterise en ce qu'il comporte : 

- une operation de reception, de la part d'un premier terminal, d'un 
5 premier message representatif : 

. d'un montant d'une transaction envisagee, 
. d'un identifiant d'un debiteur, 

- une operation de transmission, sur un deuxieme support de 
communication, a un serveur bancaire, d'un deuxieme message representatif : 

10 - dudit montant, 

. d'un identifiant dudit debiteur 

. d'une demande d'autorisation de debit, 

- une operation de reception ou non de la part dudit serveur bancaire, 
d'un troisieme message representatif d'une autorisation de debit, 

15 - lorsque Tautorisation est accordee, une operation de transmission, a 

un deuxieme terminal possedant une adresse unique sur un deuxieme reseau de 
communication, d'un quatrieme message representatif d'une information 
confidentielle, 

- une operation de reception, de la part dudit premier terminal, d'un 
20 cinquieme message representatif de ladite information confidentielle, 

- une operation de verification de correspondence entre le message 
confidentielle et I'information confidentielle. 

Ce neuvieme aspect de la presente invention presente les memes 
avantages que les premier et deuxieme aspects. Ces avantages ne sont done pas 
25 rappeles ici. 

Selon des caracteristiques particulieres de chaque aspect de 
I'invention, apres 1'operation de verification de correspondance, en cas de 
correspondance, le procede vise par la presente invention, tel que succinctement 
expose ci-dessus comporte une operation decrementation d'un compte au debit 
30 dudit debiteur. 

Grace a ces dispositions, une facture correspondant a chaque montant 
de transaction effectue par le debiteur, peut lui etre envoyee. 
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Selon d'autres caracteristiques particulieres de chacun des procedes 
vises par les differents aspects de ta presente invention, ce procede comporte, 
apres I'operation de reception du pr mier message, une operation de lecture, dans 
une base de donnee, de I'adresse unique du deuxieme terminal sur ie deuxieme 
5 reseau. 

Grace a ces dispositions, le debiteur n'a pas a fournir cette adresse, 
d'une part, et cette adresse est certifiee, d'autre part. 

Selon d'autres caracteristiques particulieres de chacun des procedes 
vises par les differents aspects de la presente invention, ce procede comporte, 
10 apres I'operation de reception du premier message, une operation de lecture, dans 
une base de donnee, d'un identificateur dudit serveur bancaire. 

Grace a ces dispositions, le debiteur n'a pas a fournir cet identificateur, 
ni une carte bancaire, d'une part, et cet identificateur peut etre preliminairement 
verifie, d'autre part. 

15 Selon un dixieme aspect, la presente invention vise un procede de 

transmission d'information sur un premier support de communication faisant partie 
d'un reseau de communication, caracterise en ce qu'il comporte : 

- une operation de reception, de ia part d'un premier terminal, d'un 
premier message representatif : 

20 . d'un montant d'une transaction envisagee, 

. d'un identifiant d'un debiteur, 

- une operation d'autorisation, ou non, de debit d'un compte bancaire, 

- lorsque I'autorisation est accordee, une operation de transmission, a 
un deuxieme terminal possedant une adresse unique sur un deuxieme reseau de 

25 communication, d'un deuxieme. message representatif de Tinformation confidentielle, 

- une operation de reception, de la part dudit premier terminal, d'un 
troisieme message representatif de ladite information confidentielle, 

- une operation de verification de correspondence entre le message 
confidentielle et Tinformation confidentielle et 

30 - dans le cas ou la correspondence est verifiee, une operation de debit 

dudit montant sur ledit compte bancaire. 

Selon des caracteristiques particulieres de chacun des aspects du 
procede vise par la presente invention, celui-ci comporte une operation de saisie 
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manuelle, au cours d laquelle I'utilisateur saisit un messag " confidenti I 
representatif de nnformation confidentielle. 

Grace a ces dispositions, I'engagement de I'utilisateur est garantie par 
la.saisie manuelle qu'il effectue. 

5 Selon des caracteristiques particulieres de chacun des aspects du 

procede vise par la presente invention, celui-ci comporte une operation de selection 
de transmission, au cours de laquelle, en fonction de criteres predetermines, les 
transmissions sont classees en deux groupes, I'un concernant les transmission dites 
« a securiser » et I'autres les transmissions dites « normaies », les transmissions 
10 normaies ne donnant pas lieu a plus d'une operation de transmission sur un support 
de communication. 

Grace a ces dispositions, le procede vise par la presente invention 
n'est mis en oeuvre que pour une partie des transmissions, en fonctions de criteres 
predetermines. 

15 :_. Selon des caracteristiques particulieres de chacun des aspects du 

procede vise par la presente invention, au cours de ladite operation de selection, on 
met en oeuvre un montant limite de transaction, les transmissions dites « a 
securiser » etant celles auxquelles sont assoctees les montants de transaction 
superieurs audit montant limite. 

20 Grace a ces dispositions, le critere de selection des transmissions qui 

sont securisees par la mise en oeuvre de la presente invention sont celles qui 
concernent des montants de transaction superieurs au montant limite. 

Selon des caracteristiques particulieres de chacun des aspects du 
procede vise par la presente invention, celui-ci comporte une operation de 

25 transmission d'une adresse unique sur Tun desdits reseaux. 

Selon des caracteristiques particulieres de chacun des aspects du 
procede vise par la presente invention, au cours de ladite operation de transmission 
d'une adresse unique, on transmet un certificat contenant une information 
representative du ladite adresse unique. 

30 - - Grace a chacune de ces dispositions, c'est I'utilisateur )ui-meme ou, 
respectivement, son ordinateur, qui, de maniere cryptee ou non, transmet sur I'un 
des reseaux une adresse unique dont il dispose sur un des reseaux utilises. 
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Selon des caracteristiques particuiieres de chacun des aspects du 
procede vise par la presente invention, iedit certificat repond a un protocole de 
securisation de paiement et comporte une information representative de ladite 
adresse unique. 

5 Grace a ces dispositions, I'adresse unique transmise avec le certificat 

est protege par le protocole de securisation de paiement. 

La presente invention vise aussi une memoire, amovible ou non, qui 
conserve des instructions d'un programme susceptible d'etre execute par un 
processeur et adapte a mettre en oeuvre le procede de transmission tel que 
10 succinctement expose ci-dessus. 

La presente invention vise, en outre, un serveur informatique, 
caracterise en ce qu'il est adapte a mettre en oeuvre le procede de transmission tel 
que succinctement expose ci-dessus. 

Ce dixieme aspect, ce serveur et cette memoire presentant les memes 
15 caracteristiques particuiieres et les memes avantages que les neuf premiers aspects 
de la presente invention, exposes ci-dessus, ceux-ci ne sont pas rappeles ici. 

D'autres avantages, buts et caracteristiques de I'invention ressortiront 
de la description qui va suivre, faite en regard des dessins annexes dans lesquels : 

- la figure 1 est un schema de principe du procede de la presente 

20 invention ; 

- ia figure 2 represente un schema particulier de mise en oeuvre de la 
presente invention ; 

- la figure 3 represente une architecture systeme capable de supporter 
la mise en oeuvre de la presente invention ; 

25 - - la figure 4 represente une succession d'operations generiques mises 

en oeuvre par les elements illustres en figures 2 et 3 ; 

- la figure 5 represente une succession d'operations mises en oeuvre 
par les elements illustres en figures 2 et 3, dans le cadre d'une application de ia 
presente invention a I'authentification; et 

30 - la figure 6 represente une succession d'operations mises en oeuvre 

par les elements illustres en figures 2 et 3, dans le cadre d'une application de la 
presente invention a ia certification de messages ; 
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- la figure 7 represente une succession d'operations mises en oeuvre 
par ies elements illustres en figures 2 et 3, dans le cadre d'une application de la 
pres nte invention au paiement electronique en ligne, dans le cas d'un service sans 
abonnement ; 

- la figure 8 represente une succession d'operations mises en oeuvre 
par Ies elements illustres en figures 2 et 3, dans le cadre d'une application de la 
presente invention au paiement electronique en ligne, dans le cas d'un service avec 
abonnement ; 

- la figure 9 represente une succession d'operations mises en oeuvre 
par Ies elements illustres en figures 2 et 3, dans le cadre d'une application de la 
presente invention au paiement avec un terminal de paiement electronique connu ; 

- la figure 10 represente une succession d'operations mises en oeuvre 
par Ies elements illustres en figures 2 et 3, dans le cadre d'une autre application de 
la presente invention au paiement electronique en ligne avec un tiers de confiance, 

15 dans le cas d'un service sans abonnement ; 

- la figure 11 represente, schematiquement, des communications de 
messages mises en oeuvre dans une application de la presente invention en 
combinaison avec un protocole de paiement connu sous le nom de « SET » 
(acronyme de « Secure Electronic Transaction » pour transaction electronique 

20 securisee) 

- la figure 12 represente, schematiquement, des communications de 
messages mises en oeuvre dans une application de la presente invention en 
combinaison avec un protocole de paiement connu de I'homme du metier sous le 
nom de Globeld (marque deposee) ou Kleline (marque deposee) ; et 

25 " la ^gure 13 represente, schematiquement, des communications de 

messages mises en oeuvre dans une application de la presente invention en 
combinaison avec un protocole de communication securise connu sous le nom de 
« SSL » (acronyme de « Secure Socket Level » pour niveau de securite (??). 
En figure 1 sont representes : 

30 - un premier reseau 1 0, 

- un premier terminal de premier reseau 1 1 , 

- un deuxieme t rminal de reseau, aussi appele par fa suite " 
serveur de donnees et de messages " 40, 



BNSDOCID: <WO 992361 7A2J_> 



WO 99/23617 PCT/FR98/02348 

- 13 - 

- un deuxieme reseau 20, 

- un troisieme terminal de deuxieme reseau 21 , et 

- un serveur d'information 30. 

Selon ('invention, I'utilisateur du premier terminal 11 est identifie par 

5 son adresse unique sur le deuxieme reseau 20. 

Celui-ci est preferentiellement securise, c'est-a-dire que chaque 
adresse y est certifiee par un tiers de confiance, et, en outre, ['information transmise 
est confidentielle. Le tiers considere est preferentiellement un operateur de 
telephonie, ou, plus generalement, tout organisme qui dispose d'une base de 

10 donnees d'utilisateur d'un terminal a adresse unique. 

Le terminal de premier reseau 11 peut etre, par exemple, un telephone, 
un terminal informatique, un telecopieur, un terminal telematique, un televiseur 
equipe d'un boltier adapte a recevoir et a emettre des donnees informatiques (boitier 
communement appele un decodeur de television), un terminal de paiement 

15 electronique (figure 2). 

Le terminal de deuxieme reseau 21 peut etre, par exemple, un 
telephone, un telecopieur, un terminal telematique, un decodeur de television, un 
telephone mobile ou un recepteur de messages («pageur») ou un assistant 
personnel numerique (communement appele «PDA»). 

20 Dans un premier mode de realisation de la presente invention, dans un 

premier temps, I'utilisateur utilise le terminal 11 de premier reseau 10 pour entrer en 
communication avec le serveur d'information 30. II ouvre ainsi une session de 
communication entre le terminal 11 et le deuxieme terminal de reseau 40. Ensuite, le 
serveur d'information 30 fournit une information confidentielle a I'utilisateur, par 

25 I'tntermediaire : 

- du serveur de donnees et de messages 40, 

- du deuxieme reseau 20, et 

- du terminal de deuxieme reseau 21 . 

Enfin, I'utilisateur recoit ('information confidentielle au niveau du 
30 terminal du deuxieme reseau 21 et effectue une saisie manuelie d'un message 
confidenti I, constitue ici de I'information confidentielle, pour le transmettre au 
serveur d'information 30, au cours de la meme session, par I'intermediaire : 
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- du terminal de premier reseau 1 1 et 

- du premier reseau 10. 

Le serveur de donn'es et de messages 40 verifi alors la 
correspondance du message confidentiel et de I'information confidentielie, c'est-a- 
5 dire si le message confidentiel est representatif de I'information confidentielie, et, en 
cas de correspondance, il donne I'acces a des services particuliers, payants ou 
confidentiels. 

Uutiiisateur, dune part, et la transaction, d'autre part, sont done 
authentifies car la saisie manuelle prouve I'identite de I'utilisateur qui recoit 
10 i'information confidentielie ainsi que ['utilisation des deux terminaux simultanement 
par le meme utilisateur. 

En figure 2 sont representes : 

- un premier terminal, dit «utilisateur» 100 relie a un premier support de 
communication 101 faisant partie d'un reseau de communication ; 

15 - un serveur d'information 103, relie au premier support d'information 

101 ; 

- un serveur de donnees 105, relie par une ligne de telecommunication 
106 et/ ou une ligne informatique 106 au serveur d'information 103 ; 

- un serveur de messages 109, reliee par un deuxieme support de 
20 communication 110 a un recepteur 111 et par un troisieme support de 

communication 113, au serveur de donnees 105 ; et 

- une base de donnees d'abonnes 107 reliee au serveur de message 
109 et au serveur de donnees 105. 

Dans le mode de realisation decrit et represents ici, le terminal 
25 utilisateur 100 est un ordinateur personnel (communement appele " PC) ou un 
ordinateur de reseau (communement appele a NC "), ou encore un Minitel (marque 
deposee) qui comporte un modem relie a un reseau de telecommunication filaire, 
comme par exemple le reseau telephonique commute. Le premier support de 
communication 101 est alors un canal de ce reseau de telecommunication. Le 
30 terminal utilisateur 100 met en oeuvre un logiciel de communication de type connu, 
qui lui permet de communiquer a distance avec le serveur d'information 103, par 
Pintermediaire du support de communication. 
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Le serveur d' information 103, relie au premier support d'information 
101 est un serveur informatique de type connu, qui est ici adapte a mettre en oeuvre 
un logiciel specifique, conforme a I'invention (illustre en I'une des figures 4 a 13). 

Le serveur de donnees 105 est un serveur informatique de type connu 
5 qui fonctionne comme il est indique ci-dessous, en relation avec le serveur 
d'information 103, par I'intermediaire de la ligne 106, elle aussi de type connu. 

Le serveur de messages 109 est un systeme informatique de type 
connu qui gere un ou des reseaux de communication de types connus, un canal de 
Tun de ces reseaux constituant un deuxieme support de communication. Un canal 
10 specialise fournit le troisieme support 113 pour la communication entre le serveur 
d'information 103 et le serveur de messages 109. 

La base de donnees d'abonnes 107 est un registre de memoire de type 

connu. 

On observe ici que la base de donnees d'abonnes 107 peut etre reliee 
15 directement a plusieurs systemes informatiques : 

- a celui du fournisseur de service dans le cas d'un reseau externe a 
une entreprise, en particuiier dans certains cas de mise en oeuvre de fa presente 
invention avec un abonnement prealable de I'utilisateur au service, 

- dans I'entreprise, dans fe cas ou le reseau est interne a I'entreprise, 
20 - a celui d'une banque ou d'un tiers de confiance, en particuiier dans le 

cas d'utilisation de Tinvention sans abonnement. 

Enfin, dans certains cas, la base de donnees n'est pas necessaire, 
I'adresse unique sur le deuxieme reseau etant fournie, sur le premier reseau, soit 
par un certificat de protocole de paiement stocke sur le poste (ou « ordinateur ») 
25 client, soit par I'utilisateur, lui-meme. 

Le deuxieme support de communication 110 est un reseau de 
communication de type connu. Sur ce deuxieme reseau, chaque recepteur possede 
une adresse unique qui est certifiee au moment de ['attribution de I'adresse du 
recepteur 111. 

30 Le recepteur 1 1 1 est, dans le mode de realisation decrit et represents 

ici, un telephone portable (communement appele «mobi!e») ou un recepteur de 
message (communement appele u pageur n ), un teiecopieur ou un telephone fixe ou 
un terminal equipe d'un modem. II est adapte a recevoir un message confidentiel et 
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a te mettre a disposition de I'utiiisateur, par exemple par affichage sur ecran, 
emission vocale ou impression sur papier. En variante, les serveurs d'information 
1 03 et ie serveur de messages 109 sont confondus. 
On observe ici que : 

5 - dans ie cas ou ie recepteur 111 ne sert a I'utiiisateur qu'a recevoir 

une information confidentielle sans emettre le message confidence!, il n'est pas 
necessaire qu'il permette remission sur le reseau 110, 

- en revanche, lorsque, conformement a certaines variantes de la 
presente invention, le recepteur 111 sert d'une part a recevoir ['information 

10 confidentielle et d'autre part a emettre ie message confidentiel, il est necessaire qu'il 
permette remission sur le reseau 110. r. 

En figure 3, on observe, dans une architecture materielle et logicielle 
permettant la mise en oeuvre de la presente invention : 

- un terminal informatique 301 , 
15 - un reseau informatique 302, 

- un serveur d'information 103, 

- un reseau local 304, 

- un serveur de donnees 1 05, 

- une base de donnees 107, 
20 - un serveur de messages 109, 

- un reseau 308, 

- un moyen de diffusion 309, 

- un reseau de radioteiephonie 310, 

- un reseau de telephonie cellulaire 31 1, 

25 - un recepteur de messages alphanumeriques 312 (appele " pageur "), 

- un telephone mobile 313, 

- un reseau commute 314, et 

- un telephone ou telecopieur 315. 

Le terminal informatique 301 est, par exemple un micro-ordinateur 
30 connu sous ie nom de «PC». II comporte un modem permettant la communication en 
emission et en reception, avec le r 'seau informatique 302. Le reseau informatique 
302 est ici le reseau informatique mondial connu sous le nom d'«internet». Le 
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serveur conformation 103 est de type connu pour la mise en oeuvre de sites de 
fournisseurs de services sur le reseau 302. 

Le reseau local 304 est de type connu. C'est un res au d'entreprise, 
par exemple du type LAN Manager (marque deposee) Netware (marque deposee de 
5 la societe NOVELL, ce nom etant aussi une marque deposee). 

Le serveur de donnees 105 et le serveur de message 109 sont de 
types connus. La base de donnees 1 07 est de type connu. 

Le reseau 308 est de type connu, par exemple de type Reseau 
Numerique a Integration de Service (« RNIS »). 
10 Le moyen de diffusion 309 est un emetteur hertzien, de type connu 

pour la mise en oeuvre du reseau de communication mobile 310. II est, par exemple 
cellulaire ou par satellite. 

Dans le mode de realisation decrit et represents en figure 3, au moins 
t'un des trois reseaux de communication suivants est utilise : 
15 - le reseau de radiotelephonie 310 qui ne permet que la communication 

dans le sens de la diffusion depuis un emetteur vers des recepteurs de messages 
atphanumeriques comme le recepteur 312, sans que ceux-ci ne puissent emettre de 
signaux a distance, 

- un reseau de telephonie mobile 31 1, permettant la communication en 
20 particulier avec des telephones mobiles, comme le telephone 313, et 

- un reseau commute 314 permettant ici la communication avec un 
telephone fixe ou un telecopieur fixe 31 5. 

Ces trois reseaux fonctionnent par abonnement, avec certification de 
I'identite de I'abonne. Sur chacun de ces reseaux, le recepteur possede une adresse 

25 unique, c'est-a-dire que I'adresse qui lui est attribute n'est pas attribuee a un autre 
recepteur (sauf dans certains cas d'abonnements groupes demandes par 
I'utilisateur). Cette adresse unique s'apparente a un numero de telephone et/ou a un 
numero de carte SIM (acronyme de « Subscriber identity Module » pour « module 
d'identite d'abonne »), module securise d'identification du portable, par exemple, 

30 dans le cas d'un reseau de telecommunication mobile connu sous le nom de 
« GSM » (acronyme de « Global System for Mobile » pour « systeme globale pour 
mobiles »). 
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On observe ici que les appareils destines a fonctionner sur le reseau 
GSM utilisent une carte a microprocesseur. Cette carte fournit aux mod s 
particuliers de invention qui la mettent en ceuvre 1'avantage d'une double securite. 

Dans le cas illustre en figure 3, c'est preferentiellement le mem 
5 utiiisateur qui met en oeuvre le terminal informatique 301, d'une part, et le recepteur 
alphanumerique 312, le telephone mobile 313, le telecopieur fixe ou le telephone 
fixe, d'autre part. 

Les figures 4 a 9 qui illustrent differentes applications de la presente 
invention, utilisent le meme formalisme : sur chacune de ces figures, les operations 
10 sont representees de haut en bas, dans I'ordre de leur succession chronologique. 
Sur ces figures, sont representees : 

- sur la colonne verticale la plus a gauche et sous forme de rectangles, 
les operations effectuees par I'utilisateur, en mettant en oeuvre soit le terminal relie 
au premier support de communication («terminal A») soit le terminal relie au 

15 deuxieme support de communication («terminal B»), le terminal utilise etant inscrit 
dans un losange auquel le rectangle representant I'operation consideree se 
superpose ; 

- sur une colonne centrale, des transmissions d'information 
successives sur !'un ou I'autre support de communication (« A » pour le reseau 

20 informatique 302 ou « B » pour le reseau de telecommunication les reseaux 308, 
310, 311 et/ou 314), sous forme de fleches dont le sens correspond au sens de 
communication, c'est-a-dire que le sens de gauche a droite, correspond au sens 
utiiisateur vers serveur et que le sens de droite a gauche correspond au sens 
serveur vers utiiisateur. 

25 On observe ici que pour chaque transmission d'information, plusieurs 

signaux peuvent etre echanges entre les systemes electroniques mis en oeuvre 
(synchronisation, selection de protocole de communication, information, 
redondances, acquittement de transmission, retransmission en cas d'erreur de 
transmission, ...). Dans ces fleches, le serveur «A» correspond au premier reseau et 

30 le serveur «B» au deuxieme reseau ; 

- sur une colonne verticale plus a droite que les deux precedentes (la 
plus a droite en figures 4 a 6 et 9), sous forme de rectangles, les operations 
effectuees par le serveur de donnees 105 ; et 
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- en figures 7, 8 et 10, sur une coionne verticale situee ia plus a droite, 
un serveur mis en communication avec le serveur de donnees 105. 

En figure 4, on observe une succession d'operations mises en oeuvre 
dans certaines applications de I'invention, par les elements illustres en figures 2 et 3 

5 : 

- au cours d'une operation 200, I'utilisateur du terminal utilisateur 101 
entre en communication avec le serveur d'information 103, par I'intermediaire du 
premier support de communication. Au cours de cette operation 200, il fournit un 
identifiant unique (par exemple un numero d'abonne, un nom ou une adresse 

10 physique) ; 

- au cours de ('operation 201, le serveur d'information 103 attribue un 
numero de session unique des ta connexion du terminal «utilisateur» 100 au serveur 
d'information 103. Au cours de cette operation 201, le serveur d'information 103 
transmet I'identifiant au serveur de donnees 105 ; 

15 - au cours de I'operation 202, le serveur de donnees 105 calcule une 

information confidentielle aussi appelee par la suite «secret», au serveur de 
messages 109. A cet effet, le serveur de donnees 105 calcule le secret comme etant 
une representation d'une fonction algorithmique utilisant un invariant (c'est-a-dire 
une valeur qui ne varie pas d'une session a I'autre, comme I'identifiant, par 

20 exemple), un variant (c'est-a-dire une valeur qui varie a chaque sessions), pour 
eviter les repetitions (numero de session, par exemple) et d'un marqueur temporel 
(c'est-a-dire d'une valeur d'horloge) afin de borner {'utilisation d'un secret dans le 
temps. Preferentiellement, il met en oeuvre une fonction de calcul d'information 
confidentielle (ou «secret») irreversible, c'est-a-dire dont on ne peut retrouver 

25 ('information d'entree lorsque Ton connalt celle de sortie. Pour la mise en oeuvre de 
I'operation 202, le iecteur pourra se referer a des livres d'algorithmes de securite 
bien connus, et en particulier aux descriptions des fonctions connues sous les noms 
de «hashing», « Message Digest», et «SHA» ; 

- I'operation 203 prend plusieurs formes differentes selon que 
30 I'identifiant est deja dans la base de donnees ou non : dans ['affirmative, I'adresse 

unique y est lue, dans la negative, il est fait appel a un tiers de confiance, qui est, 
ici, I'operateur du deuxieme reseau ou tout autre organisme habilite a jouer le role 
de tiers de confiance ; 
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- au cours de ('operation 204, I'adresse unique du recepteur 111 est 
determinee : elle est representative, dans la base de donnees 107, de I'identifiant 
transmis par le serveur d'information 103 au serveur de message 109, au cours de 
I'operation 203 ; - 

5 - au cours de I'operation 204, ie serveur de messages 109 transmet, 

par I'intermediaire du reseau 110, ('information confidentielle transmise au cours de 
I'operation 203 au recepteur 111 qui possede ladite adresse unique ; 

- au cours de ('operation 207, I' information confidentielle, aussi appelee 
ici «secret» est fournie a Tutilisateur, soit en etant affichee sur I'afficheur du 

10 recepteur 111, soit en etant donnee de maniere vocale ou telecopiee ; 

- au cours de I'operation 208, I'utiiisateur fournit au serveur 
d'information 103, qui, lui-meme, le retransmet au serveur de donnees 105, un 
message confidentiel representatif de reformation confidentielle (par exemple 
identique a cette information confidentielle ou «secret»), par ttntermediaire du 

15 clavier du terminal utilisateur 100 ; 

- au cours de I'operation 205, le serveur d* information 103 recoit ce 
message confidentiel ; 

- au cours du test 210, le serveur de donnees 105 determine si ce 
message confidentiel est representatif de I'information confidentielle generee par le 

20 serveur de donnees 1 05, au cours de I'operation 202, ou non ; 

- lorsque le resultat du test 210 est positif, le serveur de donnees 105 
donne a I'utiiisateur I'acces aux ressources protegees ; 

- lorsque le resultat du test 210 est negatif, le serveur de donnees 105 
transmet, a I'utiiisateur, un message d'erreur, en precisant eventuellement une 

25 cause d'echec (trop de temps ecoule entre la transmission de reformation 
confidentielle et sa reception, ;..) et I'acces aux ressources protegees est refuse a 
I'utiiisateur. 

Enfin, la suite de la session ouverte sur le premier support de 
communication est de type connu, mais, grace a la mise en oeuvre de la presente 
30 invention, I'utiiisateur est authentrfie de maniere forte. 

On observe ici que, meme si ie secret venait a etr connu, du fait que 
c secret correspond au numero de session unique attribue dynamiquement par le 
serveur d'information 103 et du fait que la session reste ouverte (mode connect ) 
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jusqu'a renvoi du secret, ce secret ne pourrait etre utilise pour realiser des 
operations frauduleuses. En effet, toute nouveile session ouverte se verrait alors 
attribuer un autre secret. 

En figure 5, on observe une succession d'operations mises en oeuvre 
5 par les elements illustres en figures 2 et 3, dans une application de I'invention a 
T authentication, pour acces a des donnees protegees : 

- au cours d'une operation 500, I'utilisateur du terminal utilisateur 101 
entre en communication avec le serveur d'information 103, par I'intermediaire du 
premier support de communication. Au cours de cette operation 500, il fournit un 

10 identifiant unique (par exemple un numero d'abonne, un nom, ou une adresse 
physique) ; 

- au cours de ('operation 501, le serveur d'information 103 attribue un 
numero de session unique des la connexion du terminal utilisateur au serveur 
d'information 103. Au cours de cette operation 501, te serveur d'information 103 

15 transmet I'identifiant au serveur de donnees 1 05 ; 

- au cours de I'operation 502, fe serveur de donnees 105 calcule une 
information confidentielle aussi appelee par la suite «mot de passe jetable», au 
serveur de messages 109. A cet effet, le serveur de donnees 105 calcule 
reformation confidentielle a partir d'un invariant (I'identifiant, par exemple), d'un 

20 variant pour eviter les repetitions (numero de session, par exemple) et d'un 
marqueur temporel (I'horloge) afin de borner ('utilisation d'un secret dans le temps. 
Preferentiellement, il met en oeuvre une fonction de calcul d'information 
confidentielle irreversible, c'est-a-dire dont on ne peut retrouver ('information 
d'entree lorsque Ton connalt celle de sortie. Pour la mise en oeuvre de I'operation 

25 502, le lecteur pourra se referer aux livres mentionnes plus haut ; 

- au cours de I'operation 504, I'adresse unique du recepteur 111 est 
determinee : elie est representative, dans la base de donnees 107, de I'identifiant 
transmis par le serveur d'information 1 03 au serveur de message 1 09, au cours de 
I'operation 503 ; 

30 - au cours de I'operation 505, le serveur de messages 109 transmet, 

par I'intermediaire du reseau 110, ('information confidentielle aussi appelee ici «mot 
de passe jetable», au cours de I'operation 503 au recepteur 111 qui possede ladite 
adresse unique ; 
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- au cours de ('operation 507, I'information confidentielle, aussi appelee 
ici «mot de passe jetable» est foumie a I'utilisateur, soit en etant affichee sur 
I'afficheur du r'cepteur 111, soit en etant donnee de maniere vocafe ourtelecopiee ; 

- au cours. de ('operation 508, I'utilisateur foumit- au serveur 
5 d'information 103, qui, lui-meme, le retransmet au serveur de donnees 105, un 

message confidentiel representatif de I'information confidentielle (par exemple 
identique a cette information confidentielle, ou «mot de passe jetable»), par 
I'intermediaire du clavier du terminal utilisateur 1 00 ; 

- au cours de ('operation 509, le serveur d'information 103 reooit ce 
10 message confidentiel ; 

- au cours du test 510, le serveur de donnees 105 determine si ce 
message confidentiel est representatif de (Information confidentielle generee par le 
serveur de donnees 105, au cours de I'operation 503, ou non ; 

- lorsque le resultat du test 510 est positif, le serveur de donnees 105 
15 valide I'acces a Pinformation protegee ; 

- lorsque le resultat du test 510 est negatif, le serveur de donnees 105 
transmet un message d'erreur et d'invalidation d'acces, en precisant eventuellement 
une cause d'echec (trop de temps ecoule entre la transmission de ^('information 
confidentielle et sa reception, ...) et I'acces a I'information protegee est refuse. 

20 Enfin, la fin de la session est de type connu. 

En figure 6, on observe une succession d'operations mises en oeuvre 
par les elements illustres en figures 2 et 3, dans une application de ('invention a la 
certification de message : 

- a la suite d'une operation d'ouverture de session, non representee, 
25 entre te terminal utilisateur 100 et le serveur d'information 103, 

- au cours de ('operation 601, le serveur d'information 103 attribue un 
numero de session unique ; 

- au cours d'une operation 600, I'utilisateur du terminal «utilisateur» 
100 initie, sur le premier support de communication; une procedure de transaction 

30 (par exemple virement de compte a compte, commande ou ordre boursier) (voir ci- 
dessus en regard de la figure 4) ; 

- au cours de ('operation 603, le serveur de donnees 105 calcule une 
information confidentielle aussi appelee, par la suite, «certrficat de message» a 
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partir d'un invariant (I'identifiant, par exemple), d'un variant pour eviter les 
repetitions (numero de session, par exemple) et d'un marqueur temporel (I'horloge) 
afm de borner ('utilisation d'un secret dans le temps. Preference I lement, il met en 
oeuvre une fonction de calcul d'information confidentielle irreversible, c'est-a-dire 
5 dont on ne peut retrouver reformation d'entree lorsque Ton connalt celle de sortie. 
Pour la mise en oeuvre de ('operation 603, le lecteur pourra se referer aux livres 
mentionnes plus haut ; 

- au cours de I'operation 604, I'adresse unique du recepteur 111 est 
determinee : elle est representative, dans ta base de donnees 107, de Tidentifiant 

10 transmis, par le serveur d'information 103, au serveur de message 109, au cours de 
I'operation 603 ; 

- au cours de I'operation 605, le serveur de messages 109 transmet, 
par rintermediaire du reseau 110, ('information confidentielle aussi appelee ici 
«certificat de message», transmis au cours de I'operation 603 au recepteur 111 qui 

15 possede ladite adresse unique ; 

- au cours de I'operation 607, I'information confidentielle, aussi appelee 
ici «certificat de message» est fournie a I'utilisateur, soit en etant affichee sur 
I'afficheur du recepteur 111, soit en etant donnee de maniere vocale ou telecopiee ; 

- au cours de ['operation 608, I'utilisateur fournit au serveur 
20 d'information 103, qui, lui-meme, le retransmet au serveur de donnees 105, un 

message confidentiel representatif de rinformation confidentielle (par exemple 
identique a cette information confidentielle, ou «certificat de message») t par 
rintermediaire du clavier du terminal utiiisateur 100 ; 

- au cours de I'operation 609, le serveur d'information 103 regoit. ce 
25 message confidentiel ; 

- au cours du test 610, le serveur de donnees 105 determine si ce 
message confidentiel est representatif de I'information confidentielle generee par le 
serveur de donnees 105, au cours de I'operation 603, ou non ; 

- lorsque le resultat du test 610 est positif, le serveur de donnees 105 
30 valide ia transaction effectuee, puis reprend ; 

- lorsque le resultat du test 61 0 est negatif, le serveur de donnees 1 05 
transmet un message d'erreur et d'invalidation de transaction, en precisant 
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eventuellement une cause d'echec (trop de temps ecouie entre Ea transmission de 
rinformation confidentielle et sa reception, ...) et ne realise pas la transaction. 

Enfin, la fin de la session est de type connu. 

Selon une variante non representee : 
5 - au cours de I'operation 603, le «certificat de message» est aussi 

determine, par le serveur de donnees 105, a partir d'un montant d'un virement et/ou 
d'un numero de compte bancaire emetteur et/ou d'un numero de compte bancaire 
recepteur, 

- au cours de I'operation 605, le serveur de messages 109 transmet, 
10 par I'intermediaire du reseau 110, rinformation confidentielle et le montant du 

virement, en clair et, plus generalement, une information representative de la 
transaction effectuee (produit ou service acquis et quantite concernee) ; et 

- au cours de I'operation 607, rinformation confidentielle ainsi que le 
montant sont fournis a I'utilisateur qui verifie I'integrite du montant du virement en 

1 5 cours. 

En figure 7, on observe une succession d'operations mises en oeuvre 
par les elements illustres en figures 2 et 3, dans une application de I'invention au 
paiement electronique en ligne, dans le cas d'un service sans abonnement : 

- a la suite d'une operation d'ouverture de session, non representee, 
20 entre le terminal utilisateur 100 et le serveur d'information 103, 

- au cours de I'operation 700, le serveur d'information 103 attribue un 
numero de session unique secret ; 

- au cours d'une operation 701, le serveur d'information 103 regoit de la 
part du terminal utilisateur 100, un identifiant ; 

25 - au cours d'une operation 702, I'utilisateur du terminal utilisateur 101 

choisit un bien ou un service qu'il souhaite acheter, puis initie une procedure de 
paiement (voir ci-dessus en regard de la figure 4) ; 

- au cours de ('operation 703, le serveur de donnees 105 revolt la 
demande de paiement de la part du terminal utilisateur 100 ; 

30 - au cours de I'operation 704, I'utilisateur fournit au serveur 

d'information 103 de rinformation confidentielle concernant sa carte de paiem nt ; 

- au cours d'une operation 705, I'adresse unique du recepteur 111 est 
determinee : elie est representative, dans la base de donnees 107, de I'identifiant 
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transmis par le serveur d'information 103 au serveur de message 109, au cours de 
I'operation 701 ; 

- au cours d'une operation 707, le serveur de donnees 105 ffectue 
une demande d'autorisation bancaire au serveur 706 d'une banque ou I'utilisateur 

5 dispose du compte auquel est rattache la carte de paiement concernee par 
I'operation 704. Le serveur de donnees 105 fournit le montant de la transaction 
envisagee au serveur bancaire 706. Le serveur d'information 103 recoit, en retour, 
de la part du serveur bancaire 706, une autorisation de paiement, selon des 
modalites bancaires de type connues qui dependent, en particulier, des conventions 

10 passees entre la banque et le client considere et de I'eventuelle autorisation de 
decouvert sur ledit compte (voir le protocole connu de I'homme du metier sous le 
nom de « CBSA » pour « Carte Bancaire Systeme Autorisation ») ; 

- au cours d'une operation 708, le serveur d'information 103 calcuie 
une information confidentielle aussi appelee, par la suite «certificat de transaction» 

15 a partir: 

. d'un invariant (I'identifiant, par exemple), 

. d'un variant pour eviter les repetitions (numero de session, par 
exemple), 

. du montant de la transaction et 
20 . d'un marqueur temporel (I'horloge) afin de borner ('utilisation 

d'un secret dans le temps. 
Preferentiellement, il met en oeuvre une fonction de calcul 
d'information confidentielle irreversible, c'est-a-dire dont on ne peut retrouver 
Information d'entree iorsque Ton connait celle de sortie. Pour la mise en oeuvre de 
25 I'operation 708, le lecteur pourra se referer aux livres mentionnes plus haut. Au 
cours de cette operation 708, le certificat de transaction et le montant de la 
transaction envisagee sont diffuses, par I'intermediaire du reseau 110, au recepteur 
111 qui possede ladite adresse unique ; 

- au cours de I'operation 709, ('information confidentielle, aussi appelee 
30 ici «certificat de transaction» est mise a disposition de I'utilisateur, conjointement au 

montant de la transaction, en clair, soit en etant affichee sur I'afficheur du recepteur 
111, soit en etant donnee de maniere vocale ou telecopiee, ce qui permet le 
controle, par I'utilisateur, de I'integrite de la transaction qu'il realise ; 
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- au cours de ('operation 710, I'utilisateur fournit au serveur 
d 1 information 103, qui, lui-meme, le retransmet au serveur de donnees 105, un 
message confidentiel identique a (ou, en variante, representatif de) ('information 
confidentielle constitute par le certificat de transaction, par I'intermediaire du clavier 

5 du terminal utilisateur 100 ; 

- au cours de I'operation 711, le serveur d'information 103 recoit ce 
message confidentiel ; 

- au cours du test 712, le serveur de donnees 105 determine si ce 
message confidentiel est representatif de I'information confidentielle generee par le 

10 serveur de donnees 105, au cours de ('operation 708, ou non ; 

- lorsque le resultat du test 712 est positif, le serveur de donnees 105 
valide le paiement effectue, ce paiement etant effectivement realise entre les 
organismes bancaires selon des techniques connues, puis reprend le 
fonctionnement de presentation d'offres commerciales ; 

15 - lorsque le resultat du test 712 est negatif, le serveur de donnees 105 

transmet a I'utiiisateur un message d'erreur et d'invalidation du paiement, en 
precisant eventuellement une cause d'echec (trop de temps ecoule entre la 
transmission de reformation confidentielle et sa reception, ...) et le paiement n'est 
pas effectue. 

20 Enfin, la fin de la session est de type connu. 

En variante du mode de realisation illustre en figure 7, I'operation 707 
est effectuee apres toutes les autres operations, mais avant la fin de session. 

En figure 8, on observe une succession d'operations mises en oeuvr 
par les elements illustres en figures 2 et 3, dans une application de I'invention au 
25 paiement electronique en ligne, dans le cas d'un service avec abonnement : 

- a la suite d'une operation d'ouverture de session, non representee, 
entre le terminal utilisateur 100 et le serveur d'information 103, 

- au cours de I'operation 800, le serveur d'information 103 attribue un 
numero de session unique secret ; 

30 - au cours d'une operation 801 , le serveur d'information 1 03 recoit de la 

part du terminal utilisateur 100, un identifiant ; 
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- au cours d'une operation 802, i'utilisateur du terminal utilisateur 101 
choisit un bien ou un service dont il souhaite avoir le benefice, puis initie une 
procedure de paiement (voir ci-dessus en regard de ta figure 4) ; 

- au cours de I'operation 803, le serveur de donnees 105 recoit la 
5 demande de paiement de la part du terminal utilisateur 100 ; 

- au cours de I'operation 805, le serveur de donnees 105 effectue, 
preferentiellement de maniere securisee, une demande d'autorisation bancaire au 
serveur 706 d'une banque ou I'utilisateur dispose du compte auquel est rattache la 
carte de paiement concernee par I'operation 804. II fournit le montant de ia 

10 transaction envisagee au serveur bancaire 806 ainsi que des donnees concernant la 
carte de paiement, ces donnees etant conservees par le serveur d'information 103 a 
compter de I'abonnement de I'utilisateur au service considere. Le serveur 
d'information 103 recoit, en retour, de la part du serveur de banque 806, une 
autorisation de paiement, seion des modalites bancaires qui dependent du montant 

15 disponible sur ie compte bancaire considere et de I'eventuelle autorisation de 
decouvert sur ledit compte ; 

- au cours d'une operation 807, I'adresse unique du recepteur 111 est 
determinee : elle est representative, dans la base de donnees 107, de I'identifiant 
transmis par le serveur d'information 103 au serveur de message 109, au cours de 

20 I'operation 801 ; 

- au cours d'une operation 808, le serveur d'information 103 calcule 
une information confidentielle aussi appeiee, par la suite, «certificat de transaction» 
(voir figure 7) ; 

- au cours de I'operation 809, ('information confidentielle, aussi appeiee 
25 ici «certificat de transaction» est fournie a I'utilisateur, conjointement au montant de 

la transaction, en clair, soit en etant affichee sur I'afficheur du recepteur 111, soit en 
etant donnee de maniere vocale ou telecopiee, ce qui permet le controle de 
I'integrite de la transaction par I'utilisateur ; 

- au cours de I'operation 810, I'utilisateur fournit au serveur 
30 d'information 103, qui, lui-meme, le retransmet au serveur de donnees 105, un 

message confidentiel identique a, ou, en variante, representatif de, ['information 
confidentielle constitute par I certificat de transaction, par Pintermediaire du clavier 
du terminal utilisateur 100 ; 
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- au cours de I'operation 811, le serveur d' information 103 regoit ce 
message confidentiel ; 

- au cours du test 812, le serveur de donnees 105 determine si ce 
message confidentiel est representatif de !' information confidentiel le generee par le 

5 serveur de donnees 1 05, au cours de I'operation 808, ou non ; 

- iorsque le resultat du test 812 est positif, le serveur de donnees 105 
vaiide le paiement effectue, ce paiement etant ensuite effectivement realise entre les 
organismes bancaires selon des techniques connues, puis reprend le 
fonctionnement de presentation d'offres commerciales ; 

10 - Iorsque le resultat du test 812 est negatif, le serveur de donnees 105 

transmet a I'utilisateur un message d'erreur et d'invalidation du paiement, en 
precisant eventuellement une cause d'echec (trop de temps ecoule entre la 
transmission de ('information confidentielle et sa reception, ...) et le paiement n'est 
pas effectue. 

15 Enfin, la fin de ta session est de type connu. 

En variante du mode de realisation illustre en figure 8, I'operation 805 
est effectuee apres toutes les autres operations, mais avant la fin de session. 

En figure 9, on observe une succession d'operations mises en oeuvre 
par les elements illustres en figures 2 et 3, dans une application de 1'invention au 
20 paiement avec un terminal de paiement electronique : 

- au cours d'une operation 915, I'utilisateur introduit sa carte de 
paiement dans un terminal de paiement electronique («TPE») qui constitue le 
terminal dit «utiiisateur» ; 

- au cours d'une operation 916, le commer^ant saisit le montant de la 
25 transaction sur ledit TPE ; 

- au cours d'une operation 900, une ouverture de session est effectuee 
entre le TPE 100, et le serveur d'information 103 et un numero de session unique et 
secret est attribue par le serveur de communication 103 ; 

- au cours d'une operation 901 , le serveur d'information 103 re$oit de la 
30 part du TPE 100, des informations portees par la carte d paiement ainsi que le 

montant de la transaction en cours, et le serveur d'information transmet une 
demande de I'identifiant du consommat ur aupres de Porganisme bancaire 906 et 
regoit cet identifiant en retour ; 
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- au cours d'une operation 907 t 1'adresse unique du recepteur 111 est 
determinee : elle st representative, dans la base de donnees 107, de Pidentifiant 
transmis au cours de I'operation 901 ; 

- au cours d'une operation 908, le serveur d'information 103 calcule 
5 une information confidentielle aussi appelee, par ia suite, «certificat de transaction)) 

(voir figure 7) ; 

- au cours de I'operation 909, I* information confidentielle, aussi appelee 
ici «certificat de transaction* est fournie a I'utilisateur, conjointement au montant de 
la transaction, en ciair, soit en etant affichee sur I'afficheur du recepteur 111, soit en 

10 etant donnee de maniere vocale, ce qui permet le controle de I'integrite de la 
transaction par I'utilisateur ; 

- au cours de I'operation 910, I'utilisateur fournit au serveur 
d'information 103, qui, lui-meme, le retransmet au serveur de donnees 105, un 
message confidentiel identique a, ou, en variante, representatif de, I'information 

15 confidentielle constitute par le certificat de transaction, par ('intermediate du clavier 
du TPE 100 ; 

- au cours de I'operation 911, le serveur d'information 103 re?oit ce 
message confidentiel ; 

- au cours du test 912, le serveur de donnees 105 determine si ce 
20 message confidentiel est representatif de I'information confidentielle generee par le 

serveur de donnees 105, au cours de I'operation 908, ou non ; 

- lorsque le resultat du test 912 est positif, le serveur de donnees 105 
valide le paiement effectue, ce paiement etant ensuite effectivement realise entre ies 
organismes bancaires selon des techniques connues ; 

25 - lorsque le resultat du test 912 est negatif, le serveur de donnees 105 

transmet a I'utilisateur un message d'erreur et d'invaiidation du paiement, en 
precisant eventuellement une cause d'echec (trap de temps ecoule entre la 
transmission de ['information confidentielle et sa reception, ...) et le paiement n'est 
pas effectue. 

30 Une variante de I'operation 916 est la saisie par I'utilisateur de son 

code personnel aussi appele «PIN»(acronyme de « Personal Identification Number » 
pour « numero d'identification personnel »), avant le lancement de I'operation 900. 
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Ertfin, la fin de la session est de type connu et le client recupere sa 
carte de paiement ainsi qu'un ticket imprime portant le montant du pai ment 
effectue. 

En figure 10, on observe une succession d'operations mises en oeuvre 
5 par les elements illustres en figures 2 et 3, dans une application de ('invention au 
paiement electronique en ligne, utiiisant un tiers de confiance, dans le cas d'un 
service sans abonnement, application differente de celle illustree en figure 7. 

Dans cette application, le serveur de donnees 105 est situe 
preferentiellement avec le serveur de messages 109, et fait partie, avec celui-ci, du 
10 tiers de confiance (aussi appele tiers certificateur). A titre d'exemple, ces deux 
serveurs 105 et 109 se trouvent chez I'operateur de telecommunication. 

Dans cette applications, les operations mises en oeuvre se succedent 
de la maniere suivante. 

A la suite d'une operation d'ouverture de session, non representee, 
15 entre le terminal utilisateur 100 et le serveur d'information 103, au cours d'une 
operation 1000, le serveur d'information 103 attribue un numero de session unique 
secret. Au cours d'une operation 1001, I'utilisateur du terminal utilisateur 101 choisit 
un bien ou un service qu'il souhaite acheter, puis initie une procedure de paiement, 
en cooperation avec le serveur d'information 103. 
20 Le serveur d'information 103 re$oit alors, au cours d'une operation 

1032, une demande de paiement et, en particulier, un montant de la transaction 
envisagee. 

Au cours d'une operation 1003, I'utilisateur du terminal utilisateur 101 
fournit un identifiant et, au cours d'une operation 1004, le serveur d'information 103 
25 report cet identifiant de la part du terminal utilisateur 100. 

Au cours d'une ('operation 1005, le serveur d'information 103 transmet 
une demande de paiement ainsi que I'identifiant de I'utilisateur et le montant de la 
transaction envisagee, au serveur de donnees 105, par I'intermediaire de la ligne de 
telecommunication 106. Au cours d'un test 1006, le serveur de donnees 105 
30 determine si le montant de la transaction envisage est superieur a un montant 
predetermine. 

Lorsque le resultat du test 1006 est negatif, une operation 1008 est 
effectuee (voir ci-dessous). 
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Lorsque le resultat du test 1006 est positif, le serveur de donnees 105 
recherche, au cours d'une operation 1007, dans sa base de donnees d'abonnes, le 
numero de la carte bancaire correspondant a Tidentificateur transmis et effectue une 
demande d'autorisation bancaire a un serveur d'une banque ou I'utilisateur dispose 
5 du compte auquel est rattache cette carte de paiement. 

Au cours d'un test 1009, le serveur de la banque determine, seion des 
regies connues en soit, si la transaction envisagee est autorisee, ou non. Lorsque le 
resultat du test 1009 est negatif, un refus est signrfie a I'utilisateur, au cours d'une 
operation non representee, par I' intermediate du serveur d'information 103 et du 
10 terminal utilisateur 101. 

Lorsque le resultat du test 1009 est positif, le serveur de donnees 105 
repoit, au cours de I'operation 1008, de la part du serveur de banque, une 
autorisation de paiement, selon des modalites bancaires connues. 

Au cours de I'operation 1008, I'adresse unique du recepteur 111 est 
15 determinee : elle est representative, dans fa base de donnees 107, de I'identifiant 
transmis par le serveur d'information 103 au serveur de message 109, au cours de 
I'operation 1001. 

Puis, les operations 708 et suivantes exposees en regard de la figure 
7, sont effectuees. 

20 Cependant, dans le mode de realisation illustre en figure 10, lorsque le 

resultat du test 712 est positif, le serveur de donnees 105 valide le paiement 
effectue, puis retourne un accord de paiement au serveur 103, accompagne de 
I'adresse de Tabonne du service telephonique (A Tissue de la periode de facturation 
telephonique du tiers de confiance, ce paiement etant effectivement realise entre les 

25 organismes bancaires de Tacheteur et du tiers de confiance, selon des techniques 
connues. De meme a Tissue d'une periode de paiement, le tiers de confiance 
effectue la remise commergant et preleve, eventuellement, des frais de service.), 
puis reprend le fonctionnement de presentation d'offres commerciales. 

En revanche, lorsque le resultat du test 712 est negatif, le serveur de 

30 donnees 105 transmet a I'utilisateur un message d'erreur et d'invalidation du 
paiement, en precisant eventuellement une cause d'echec (trap de temps ecoule 
entre la transmission de T information confidentielle et sa reception, ...) et le 
paiement n'est pas effectue. 
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Enfin, ta fin de la session est de type connu. 

En figur 11, on observe un schema de systeme de paiement 
conforme a la presente invention t mettant en oeuvre les protocoles de paiement 
connus sous le nom de « SET » (acronyme de « Secure Electronic Transaction » 
5 pour « transaction electronique securisee »). Pour mieux connaitre ce type de 
transaction, le lecteur se reportera a la version 1 .0 des specifications du protocole 
SET, publiee le 31 Mai 1997. Cette version est incorporee ici par reference. 

Pour memoire, on rappelle que les entreprises VISA (marque deposee) 
_ et MASTERCARD (marque deposee) se sont associees pour definir un standard 
10 commun de paiement par cartes bancaires a travers des reseaux ouverts : le 
protocole SET. 

Les principaux objectifs de ce protocole SET sont les suivants : 

- rendre facile et rapide le developpement du commerce electronique, 

- creer la confiance sur le reseau entre acheteur et vendeur au moyen 
1 5 d'un echange de certificats, 

- separer le reseau Internet du reseau bancaire, 

- garantir I'integrite et la confidential ite des transactions grace au 
chiffrement des messages, 

- assurer I'interoperabilite entre standard bancaire ouvert et solution 
20 non proprietaire, 

- s'appuyer sur des normes deja existantes. 

Les principes et le fonctionnement du protocole SET s'appuient sur 
trois notions importantes : 

- le Gestionnaire de Telepaiement (connu de I'homme du metier sous 
25 le nom de « Payment Gateway »), qui assure I'etancheite entre le domaine Internet 

et le domaine bancaire, 

- les certificats qui sont des cies pubiiques qui servent a authentifier les 
differents acteurs entrant dans la transaction (porteur-ciient, commer^ant, 
Gestionnaire de Telepaiement), 

30 - le tiers de confiance qui certifi les cies pubiiques qui deviennent 

alors des certificats. 

L'ensemble du systeme SET repose sur I'utilisation de certificats. Le 
tiers de confiance certifie les cies pubiiques des porteurs-ciients, des commergants 
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et des Gestionnaires de Telepaiement. Le tiers de confiance fait, lui-meme, I'objet 
d'une certification. On a ainsi un systeme en cascade, oil un tiers de confiance d'un 
niveau superieur certifie un tiers de confiance d'un niveau inferieur. Le systeme est 
hierarchique et, au sommet, se trouve I'Autorite Supreme qui est connue de tous t 
qui n'a pas besoin de s'authentifier. L'interet d'une telle hierarchie est de deleguer le 
travail de certification, tout en garantissant I'ensemble du systeme. 

1 ) Pour son inscription, le client obtient sa cle en utilisant un logiciel 
specifique qui sera integre dans le navigateur, connu de rhomme du metier sous I 
nom de « browser » (ou « butineur »). II entre son numero de carte bancaire dans le 
programme. Celui-ci rend un fichier que le client doit renvoyer a I'une des 
entreprise s VISA ou MASTERCARD, celle -ci renvoyant un certificat contenant une 
cle qui demeurera gravee dans le logiciel stocke sur le poste client. 

2) Pour la transaction : 

- le porteur consulte le catalogue sur le serveur et fait son choix. Le 
15 serveur commercant envoie alors au client un bon de commande virtuel (Order 

Information « Ol ») qui contient les informations sur le produit et le montant, ainsi 
que le certificat et la cle publique du commercant et du Gestionnaire de 
Telepaiement ; 

- le client envoie, au serveur commercant, son certificat et sa cle 
20 publique. Done, disposant de leur certificat reciproque, ils peuvent proceder a leur 

identification mutuelle ; 

- le client cree ensuite un PI (acronyme de « Payment Information » 
pour « Information de Paiement »). Ce PI contient des informations relatives au 
systeme bancaire, qui sont destinees exciusivement au Gestionnaire de 
Telepaiement. Pour cette raison, le client chiffre le PI avec la cle publique du 
Gestionnaire de Telepaiement. Cette operation terminee, le client assemble le bon 
de commande virtuel Ol et I'information de paiement PI, et signe le tout avec sa cle 
privee. Ce paquet est envoye au serveur commercant. 

- le serveur commercant est en mesure de verifier ia validite du paquet 
grace a la cle publique du client. II peut done s'assurer que le client n'a pas modifie 
le bon de commande Ol. Toutefois, il lui est impossible de lire d'information de 
paiement PI. Le serveur commercant signe, a son tour, le paquet recu et le transmet 
au Gestionnaire de Telepaiement. Le bon de commande emis par le serveur 



25 



30 
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commercant et I'ordre de paiement emis par le porteur sont li's d'une manier 
indissociable au moyen de cette signature duale. 

- le Gestionnaire de Telepaiement verifie les certificats, ia signature 
duale et la coherence entre le bon de commande (01) et I'ordre de paiement (Pi). II 

5 sert alors d'interface avec le monde traditionnel du paiement par carte. 

- si les conditions habituelles de paiement par carte sont remplies, ii 
confirme la transaction au serveur commercant. 

L'avantage de ce protocole est que, grace aux certificats, le client et le 
serveur commercant peuvent s'identifier mutuellement avant meme d'effectuer la 
10 transaction. 

Les inconvenients de ce protocoles sont que : 

- la multiplication des tiers de confiance est lourde a gerer, 

- la protection n'est que logicielle, 

- les certificats sont stockes sur les machines des clients. Done, en 
15 toute rigueur, I'authentification ne concerne pas le client mais son ordinateur. 

En regard de la figure 1 1 , on observe la mise en oeuvre de linvention 
dans le cadre de la solution de paiement SET. Ce protocole met en oeuvre une 
relation tripartite, ordinateur du client 1101 - serveur commercant 1102 - 
Gestionnaire de Telepaiement 1103. Chacune de ces entites recoit des certificats 
20 SET generes par un gestionnaire de certification non represents. A la date du depot 
de la presente demande de brevet, le protocole SET ne permet pas I'authentification 
de maniere forte de I'acheteur, sauf a installer un lecteur de cartes a memoire. 

Dans un premier temps, un client initie I'achat en choisissant un bien 
ou un service sur un site commercant d'un reseau informatique. Le client declenche 
25 ensuite le paiement en validant I'achat (par exemple en cliquant sur une icone 
u validation achat a ). 

Ensuite, le client doit taper un mot de passe statique pour initialiser le 
paiement, en dechiffrant le certificat SET stocke sur son ordinateur. 

Selon une variable non representee, un mode operatoire consiste a ne 
30 pas utiliser de certificat (conformement au protocole SET fonctionnant en mode « 2 
Kp »). Dans ce cas, aucun certificat n'est echange et seule une authentification du 
client est necessaire, conformement a la presente invention (ci-dessous). 
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Les echanges « ordinateur du client - serveur commercant - 
Gestionnaire de Telepaiement » s'initient afin de determiner les parametres de 
communication (trames appelees « PWakeUp », « PlnitReq » et « PlnitRes » dans ia 
specification du protocole SET), les donnees contenues dans le certificat Client sont 

5 recuperees au niveau du Gestionnaire de Telepaiement (trame Preq(PAN)) qui les 
dechiffre et adresse une demande d'authentification du Client au serveur 
d'authentification 11 04. 

Ce serveur authentifie ta transaction en calculant un code 
d'authentification de la transaction (« CAT ») et I'envoie, par I'intermediaire d'un 

10 message court (connu de i'homme du metier sous le nom de « SMS », acronyme de 
« Short Message System » pour « Systeme de Messages Courts ») au client identifie 
par son numero de telephone mobile 1 105 correspondant, dans la base de donnees 
abonnes, a I'identifiant dechiffre dans le certificat SET Client qui est recu par le 
Gestionnaire de Telepaiement. 

15 Selon une variante non representee, le numero de telephone de 

I'abonne, sur le deuxieme reseau, est inclus, chiffre, dans un champ du certificat 
client SET. Dans ce cas, il n'est pas necessaire de disposer d'une base de donnees 
effectuant ia correspondance entre le numero de mobile de I'abonne et son 
identifiant. A ia reception du certificat client sur le Gestionnaire de Telepaiement, 

20 celui-ci dechiffre le certificat et utilise directement le numero du mobile contenu dans 
le certificat pour adresser le code d'authentification de la transaction du client. Ce 
principe de fonctionnement facilite I' interoperability entre les operateurs de 
telecommunication et bancaires. 

Le client recoit alors un code d'authentification de transaction sous 

25 forme de message confidentiel, conformement a la presente invention. II saisit ce 
message sur son ordinateur dans un champ d'authentification prevu a cet effet. 

Le code d'authentification de transaction est alors envoye soit par 
I'intermediaire du serveur commercant, directement au Gestionnaire de 
Telepaiement, soit le soumet au serveur d'authentification qui le valide et declenche 

30 ie paiement. 

Selon une variante non representee, le client recoit sous forme de 
message court SMS le montant de la transaction en clair associe au Code 
d' identification de la transaction afin qu'il verifie Tintegrite du montant de son achat. 
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En figure 12, on observe la mise en oeuvre de ('invention dans le 
cadre de la solution de paiement connue de rhomme du metier sous le nom de 
Globeld (marque deposee) ou Kl line (marque deposee). 

Ce systeme repose sur le principe de porte-monnaie virtuel (PMV). II 
5 s'agit, en fait, d'un avoir que le client depose au prealable et qui est debite au fur et 
a mesure de ses achats. Les transactions sont d'une totale transparence pour le 
client. C'est le seul cas ou client et serveur commercant n'ont aucune relation 
directe. 

Pour utiliser le systeme Globeld, il suffit de telecharger une interface 
10 (appelee « Klebox », marque deposee, chez Kleline) et d'ouvrir un compte en 

s'adressant a GlobeOnLine (marque deposee) ou Kleline. Un client peut ouvrir 

plusieurs porte-monnaies virtuels. 

L'ouverture du porte-monnaie virtuel peut s'effectuer instantanement, 

en ligne. Dans ce cas, les coordonnees bancaires sont chiffrees (technologie RSA) 
15 et envoyees par I'intermediaire du reseau Internet. Elles peuvent egalement etre 

transmises par le telephone, la teiecopie ou le courrier postal. En reponse, le service 

utilisant cette solution attribue au client un numero de porte-monnaie et un code 

confidentiel. 

A l'ouverture du porte-monnaie virtuel, le client effectue deux 
20 operations : il donne son numero de carte bancaire et les autres informations 
necessaires, puis verse, sur le porte-monnaie virtuel, un montant de son choix. Le 
client peut consulter I'etat de son porte-monnaie virtuel et y deposer de nouvelles 
sommes d'argent a tout moment. II lui est egalement permis de retirer tout ou partie 
de son avoir. 

25 Le porte-monnaie virtuel est lie a une ou plusieurs cartes bancaires. Le 

client a la possibility de personnaliser ses cartes bancaires, en leur donnant des 
noms, afin de ne pas les confondre. Des techniques de dedoublonnage assurent 
qu'a une carte correspond bien une seule personne. 

La transaction type se deroule comme suit : 

30 - le client navigue sur le serveur commercant. Quand un produit 

I'interesse, il clique dessus et se declare pret a I'acheter en envoyant un bon de 
commande au serveur commercant ; 
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- celui-ci emet un ticket de caisse a destination du serveur Globeld. Ce 
ticket de caisse comprend, d'une part, la nature et le montant de I'achat t, d'autre 
part, ie numero de porte-monnai virtue! du commer^ant. L tout est signe a partir 
du code confidentiei de ce dernier. Ensuite, Globeld verifie ce ticket (le serveur 

5 commergant est alors authentifie) et le fait apparaltre sur I'ecran de l'ordinateur du 
client ; 

- le client signe electroniquement ce ticket avec son code secret et le 
retourne a Globeld ; 

- Globeld authentifie alors le client avec sa cle publique et valide la 
10 transaction. Si le client a decide de payer avec sa carte, la validation a lieu aupres 

du reseau bancaire avec, eventuellement, une demande d'autorisation au reseau 
cartes bancaires. Si le client utilise son porte-monnaie virtuel, celui-ci est aussitot 
debite du montant de ia transaction ; 

- L'ordinateur du client emet enfin un bon de caisse vers ie serveur 
15 commergant (justificatif de la transaction) qui remet alors la marchandise. 

Toutes ies communications dans les transactions sont chiffrees a I'aide 
de cles asymetriques de 512 bits. 

Les inconvenients de ce protocole sont que, pour le commergant, il faut 
posseder un numero de porte-monnaie virtuel et un code confidentiei. 
20 En regard de la figure 12, on observe que, dans un mode particulier de 

realisation de la presente invention, mis en oeuvre en combinaison avec ia solution 
Globeld ; 

1. l'ordinateur du client 1201 choisit un bien ou un service sur un site 
commergant 1202 et valide son achat 
25 2. Le serveur commergant demande alors un u ticket " (recepisse) a 

l'ordinateur du client (echange " GRT1 n sur la figure 12). 

3. L'ordinateur du client soumet, a son tour, cette demande au serveur 
d'intermediation 1203 (echange u GRT2"). 

4. La phase d'authentification est alors mise en oeuvre (echange 
30 « CAC/CAR ») avec un code dynamique appele « TID » (pour « Transcode 

Identificateur ») genere par le serveur d'intermediation et envoye par I'intermediaire 
d'un reseau de telecommunication, sous le forme d'un message court SMS, adresse 
au telephone mobile 1204 dont le numero correspond a I'abonne identifie par 
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l'identificateur « usertd » du client, stocke dans la base de donnees 1206 du serveur 
d'authentification 1205. 

Selon une variante non representee, on fait caiculer et nvoyer le code 
dynamique TID directement par i'operateur de telecommunication. Dans ce cas, le 
5 serveur d'intermediation transmet les informations necessaires au calcul du code 
dynamique TID, a I'operateur de telecommunication. 

Selon une autre variante non representee, le client recoit, sous forme 
de message court SMS, le montant de la transaction, en clair, associe au code 
d'authentification de transaction afin qu'il verrfie I'integrite du montant de son achat. 
10 5. Le code d'authentification de transaction recu par I'intermediaire du 

mobile du client est saisi sur I'ordinateur utilise par le client et les informations de la 
transaction sont ajoutes au code dynamique TID et sont envoyees au serveur 
d'intermediation (" IS ") qui verifie la validite du code dynamique TID et valide, avec 
le serveur d'authentification, ie code d'authentification de transaction recu de 
15 I'ordinateur du client. 

6. Le serveur d'intermediation delivre alors un recepisse (echange 
« GPT 3 »") a I'ordinateur du client qui I'adresse ensuite au serveur commercant 
(echange « GPT 4 »). 

Le protocole « SSL » (Secure Socket Level) est un protocole de 
20 communication securise entre deux entites. Le lecteur pourra se referer a la version 
3.0, des specifications edictant ce protocole, version de Mars 1996. Cette version 
est incorporee ici par reference. 

le protocole SSL est un protocole developpe par NETSCAPE. La phase 
de negociation au depart permet Tauthentification du serveur commercant et, 
25 optionnellement, celle du client. Une fois cette phase terminee, les echanges sont 
cryptes avec la cie generee par I'ordinateur du client. 

Ainsi, le protocole de securite SSL code les donnees, authentifie le 
serveur et assure rintegrite des messages pour une connexion TCP/IP (« Transport 
Telecommunication Protocol / Internet Protocol) : 
30 . notamment, le chrffrement des donnees (RC4), 

. I'authentrfication du serveur commercant pour le client (differentes 
methodes de chiffrement asymetrique), 
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. I'integrite des donnees (MD2, MD5), 

. la non repudiabilite des echanges, et 

. opt ionnellement, I'authentification du cli nt pour ie s erveur. 

Pratiquement, le protocole SSL procure une securite de type « poignee 
5 de main » pour debuter toute connexion TCP/IP. La poignee de main permet, a 
I'ordinateur du client et au serveur commercant, de se mettre d'accord sur le niveau 
de securite a utiliser et de remplir les conditions d'authentification pour la connexion. 
Ensuite, I'unique role du protocole SSL consiste a coder et decoder le flux d'octets 
du protocole application en cours (par exempie « HTTP », acronyme de « HyperText 
10 Transfer Protocol » pour « protocole de transfer* hypertexte »)• Cela signifie que 
toutes les informations contenues dans les demandes et reponses HTTP sont 
entierement codees, y compris I'URL (acronyme de universal resolution location) 
que i'ordinateur du client requiert, le contenu de tous les formulaires soumis (tels 
que les numeros de cartes de credit), toute information relative a I'autorisation 
15 d'acces HTTP (noms d'utilisateur et mot de passe) et toutes les donnees retournees 
par le serveur a I'ordinateur du client. 

Des certificats SSL peuvent etre edites par une entite accreditee a la 
fois pour le client et le commercant. De maniere usuelle, le client ne possede pas de 
certificat. 

20 ° n observe, en figure 13, dans un mode particuiier de realisation de la 

presente invention, en combinaison avec le schema de paiement SSL, que : 

- I'ordinateur du client 1301 initie d'abord I'achat, en choisissant son 
bien ou service sur le site commercant 1302 ou la galerie commercante souhaitee ; 

- ie declenchement du paiement est active par une validation d'achat 
25 du client (par exempie, I'appui sur une touche « validation achat ») ; 

- s'ensuit I'ouverture de la communication SSL avec un echange, entre 
I'ordinateur du client 1301 et le serveur commercant 1302 t de trames qui permettent 
de regler les parametres de la communication (version de protocole, numero de 
session, algorithme de chiffrement retenu, methode de compression, authentification 

30 reciproque et utilisation ou non de chiffrement a base d'algorithmes a cles publiques 
ou privees). Une cle maitre est echangee, chiffree, avec la cle privee du 
commercant, I'ordinateur du client la dechiffrant avec la cle publique du commercant 
et generant ensuite une cle de session bas e sur cette cle maitre. Cett operation 



BNSDOCID: <WO 992361 7A2_I_> 



WO 99/23617 



-40- 



PCT/FR98/02348 



est reproduite sur le serveur commercant afin de disposer, de part et d'autre, de la 
meme cle de session. Ladite cl ' de session sert a chiffrer la communication entre 
I'ordinateur du client et ie serveur commercant ; 

- le client tape un identificateur « Userld » permettant de ('identifier 
5 aupres du serveur commercant ou de la galerie marchande ; 

- le serveur commercant ou de la galerie transmet I'identificateur 
« Userld » et les parametres de la transaction, au logiciel de telepaiement 1303 qui 
calcule le code d'authentification de transaction et I'envoie, par I'intermediaire d'un 
message court SMS, au client identifie par son numero de telephone mobile 1304 

10 correspondant a son identificateur « Userld », dans ia base des abonnes 1305 du 
serveur d'authentification 1 306 ; 

Une variante consiste a mettre en oeuvre le certificat SSL sur 
I'ordinateur du client, notamment en y incorporant, lors de sa generation par le 
serveur d' accreditation, le numero de mobile utilisateur, le numero de carte bancaire 

15 et la date limite de vaiidite de la carte bancaire. Lors des echanges du debut de 
connexion SSL, ie serveur commercant dechiffre les informations du certificat client 
et notamment le numero de mobile qui sert a envoyer le code d'authentification de 
transaction client. Dans cette variante, il est ainsi possible de s'affranchir de la base 
de donnees abonnes dans le serveur d'authentification. 

20 Une autre variante consiste a ce que le client envoie directement le 

numero de carte bancaire et la date limite de vaiidite de celle-ci. Dans ce cas, le 
serveur commercant calcule un code d'authentification de transaction et recupere le 
numero de mobile du client dans la base de donnees indexee par le numero de 
carte bancaire. Ensuite, le code d'authentification de transaction est envoye au 

25 client par I'intermediaire de son mobile. 

- le client identifie par son mobile recoit le code d'authentification de 
transaction sur son telephone mobile, puis le saisit dans un champ d'authentification 
sur Tecran de son PC ; 

- le code d'authentification de transaction est envoye par I'intermediaire 
30 du serveur commercant ou de la galerie, puis au serveur d'authentification qui valide 

alors le code d'authentification de transaction et declenche le paiement. 

- une variante consiste a joindre, en plus du montant de I'achat, les 
references du produit achete, les quantites, ... , en clair, avec le code 
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d'authentification de transaction par renvoi du message court SMS, iors de renvoi 

sur le telephone mobile du client. 

Selon une variante (non representee) de chacun des modes de 

realisation de la presente invention, le serveur du commergrant effectue une 
5 operation de selection des transmissions qui sont securisees conformement a la 

presente invention. Au cours de cette operation de selection de transmissions, en 

fonction de criteres predetermines, les transmissions sont ciassees en deux 

groupes, I'un concernant les transmission dites « a securiser » et I'autres les 

transmissions dites « normales ». Les transmissions « a securiser » sont traitees 
10 comme expose ci-dessus, alors que les transmissions dites « normales » ne donnent 

pas lieu a plus d'une operation de transmission sur un support de communication. 

Les transmissions dites normales sont, en fait, conformes aux precedes connus 

dans I'art anterieur. 

Par exemple, dans le cas du mode de realisation expose en figure 10, 
15 I' operation de selection peut etre faite au cours de ('operation 1005 ou au cours de 

I'operation 1008, en prenant, comme critere de selection, le montant de transaction, 

et en le comparant a un montant iimite de transaction. Les transmissions dites « a 

securiser » sont, alors, celles auxquelles sont associees des montants de 

transaction superieurs audit montant Iimite. 
20 Les differents modes de realisation de la presente invention 

(authentication, certification de message et paiement electronique en ligne) 

peuvent etre combines afin de realiser des applications specifiques correspondent 

aux exigences de I'operateur du service. 

L'invention s'applique notamment : 
25 - au controle d'acces sur site informatique (pour la securite interne a 

une entrephse, pour le teletravail dans une entreprise, pour I'acces a des bases de 

donnees protegees ...), 

- a la remise d'information confidentielle en main propre (pour le 
courrier electronique, la telecopie securisee et/ou recommandee, pour la certification 

30 de devis ou de bon de commande ...), 

- au paiement en ligne (pour le commerce electronique, pour la 
distribution d'information t ou de logiciels, ...), 
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- a la certification de message (pour ia declaration a distance, pour la 
banque a domicile, ...), 

- a la remise de propositions commerciales personnalisees (pour ies 
boites aux lettres securisees, ...), 

5 - a la prise de pari, en ligne (pour Ies ioteries ou Ies mises pour jeu de 

casinos, courses, ...), 

- a la commande et a la reservation d'un programme de television (pour 
la television a facturation des seuies emissions vues), 

- a renvoi d'information ou au telechargement de logiciel a la demande, 
10 - a la reservation de services en ligne ou 

- a I'ouverture de porte-monnaie electronique virtuel. 

Quelques unes de ces applications sont detaillees ci-dessous, a titre 

d'exemple. 

Pour une application de controle d'acces mettant en oeuvre la 
15 presente invention, le reseau utilise peut etre un reseau connu sous le nom 
d'«intranet» ou un reseau mondial connu sous le nom d'«internet». L'objectif d 
cette application de invention est de s'assurer que I'utilisateur est une personne 
habilitee. 

Dans cette application : 
20 - I'utilisateur se met en relation avec le service, 

- il s'identifie en fournissant un identifiant, 

- il recoit, par I'intermediaire d'un deuxieme support de communication 
(par exemple telephone portable ou pageur), un mot de passe jetable, 

- il tape ce mot de passe jetable sur le clavier de son terminal, puis 

25 - si ('authentication est realisee, il accede a la ressource consideree 

(pour la securite interne dans une entreprise, pour le teletravail ...). 

Pour une application de transmission de courrier Electronique ou 
de telecopie recommandee mettant en oeuvre la presente invention, le reseau 
utilise peut etre un reseau commute. Les objectifs de cette application de ('invention 

30 sont : 

- de s'assurer que la personne a qui est adresse le message securise 
(le «destinatair »), le recoit en main propre et 
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- de delivrer un certificat de message a ('emetteur et au destinataire du 
message securise. 

Dans cette application : 

- I'utiiisateur emetteur du message securise compose le numero d'un 
5 service specialise pour ia mise en oeuvre de cette application, 

- il s'identifie en fournissant un identifiant, 

- il tape les coordonnees de i'utiiisateur destinataire (numero de 
telephone, preference I lement portable, adresse, telecopie, ...), puis 

- il delivre son message securise (oral, ecrit et/ou par Tintermediaire 
10 d'un teiecopieur). 

- il recoit, par I' intermediate d'un deuxieme support de communication 
(par exemple telephone portable ou pageur), un certificat de message, 

- il tape ce certificat de message sur le clavier de son terminal, sur le 
premier reseau, 

15 - ce certificat de message est verifie, 

Ensuite, I'utiiisateur destinataire : 

- est informe qu'un message securise I'attend (cette operation est 
realisee par tout moyen connu (telephonie, telecopie, courrier, pageur, courrier 
electronique ...), 

20 - il compose le numero du service specialise pour la mise en oeuvre de 

cette application, 

- il s'identifie en fournissant un identifiant, 

- il recoit, par ('intermediate d'un deuxieme support de communication 
(par exemple telephone portable ou pageur), un certificat de message, et 

25 - il tape ce certificat de message sur le clavier de son terminal, sur le 

premier reseau, 

- ce certificat de message est verifie, 

- I'utiiisateur destinataire du message securise recoit ce dernier, 

- I'utiiisateur emetteur est informe que le message securise a ete retire 
30 par le destinataire. 

Le service specialise conserve une trace de chacun des certificats 
ainsi delivres. 
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Pour une application a la tei6d£clarati n (c'est-a-dire de declaration 
a distance) mettant en oeuvre ia presente invention, le premier reseau utilise peut 
etre un reseau mondial connu sous I nom d'«internet». L'objectif de cette 
application de ('invention est de permettre une declaration administrative officielle 
5 immediate, de deiivrer un recepisse a I'utilisateur et de s'assurer de I'identite du 
deposant. 

Dans cette application : 

- I'utilisateur emetteur de la declaration se connecte a un service 
administratif adapte a cette application (voir ci-dessus), 

10 - il s'identifie en fournissant un identifiant, 

- il effectue ladite declaration ou rempli un formulaire administratif, 

- il recoit, par I' intermediate d'un deuxieme support de communication 
(par exemple telephone portable ou pageur), un certificat de message, et 

- il tape ce certificat de message sur le clavier de son terminal. 

15 Pour une application de ('invention a I'achat et/ou le paiement en 

ligne mettant en oeuvre ia presente invention, le reseau utilise est le reseau mondial 
connu sous le nom d*<dnternet» et un logiciel mis en oeuvre par l'ordinateur de 
I'utilisateur permet de crypter un numero de compte ou de carte bancaire (par 
exemple avec un logiciel de cryptage «SSL» ou « SET »). L'objectif de cette 

20 application de I'invention est de pouvoir payer en ligne en authentifiant la personne 
qui realise la transaction. 

Dans cette application : 

- I'utilisateur se met en relation avec une «galerie marchande», c'est-a- 
dire un site rassemblant des commercants fournissant des biens, des services ou de 

25 ('information, 

- il s'identifie en fournissant un identifiant, 

- il choisit une transaction qu'il souhaite effectuer, 

- il indique un mode de paiement (carte bancaire, par exemple), 

- il envoie au serveur de la galerie marchande son numero de carte et 
30 la date de peremption de cett carte, sous protocoie de cryptage SSL, 

- le serv ur gener un certificat de transaction auquel il associe le 
montant de transaction, en ciair, 
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- I'utilisateur report, par I'intermediaire d'un deuxieme support d 
communication (par exemple telephone portable ou pageur), ce certificat de 
transaction et le montant de la transaction en clair, 

- il verifie I'integrite du montant, 

5 - il tape ces elements sur le clavier de son terminal, et 

- la transaction est ensuite effectuee selon des procedures bancaires 

connues. 

Pour une application mettant en oeuvre la presente invention dans 
laquelle de 1'information (textes, images, graphiques, sons) et/ou des iogicieis 
10 sont fournis a la demande, le reseau utilise est le reseau mondial connu sous le 
nom d'«internet». L'objectif de cette application de Tinvention est de faire payer a 
I'acte la personne qui accede a une ressource a valeur ajoutee et, de lui fournir le 
service demande (transmission d'information ou de logiciel) en temps reel. 
Dans cette application, 
15 - I'utilisateur se met en relation avec le fournisseur de service, 

- il s'identifie en fournissant un identifiant, 

- il choisit une information ou un logiciel qui i'interesse, 

- le fournisseur de service indique le prix du service considere, 

- I'utilisateur confirme sa volonte d'achat, 

20 - I'utilisateur reg:oit t par P intermedial re d'un deuxieme support de 

communication (par exemple telephone portable ou pageur), un certificat de 
transaction assorti du montant de la transaction en clair, et 

- il verifie i'integrite du paiement, 

- il tape le certificat de transaction sur le clavier de son terminal, 
25 - le certificat de transaction est verifie, 

- il regoit ['information ou le logiciel considere, et 

- il est facture par releve mensuel par son operateur de service de 
telecommunication, ou par son fournisseur d'acces au reseau, par exemple, en 
fonction de sa consommation. 

30 Pour une application de prise de pans a distance mettant en oeuvre 

la presente invention, le reseau utilise est le reseau mondial connu sous le nom 
d'«internet». L'objectif de cette application de Tinvention est de s'assurer que la 
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personne misant sur un jeu ou prenant un pari a distance est habilitee a le faire et 
qu'eile a acquitte au prealabl les droits necessaires pour ce jeu. 
Dans cette application : 

- Tutilisateur ouvre et provisionne son compte chez I'operateur de 
5 service, soit en deposant une somme sur son compte depuis un point de vente 

queiconque ou par cheque, soit en utilisant ta meme methode que dans les 
applications de Tinvention detaillee ci-dessus pour le paiement en ligne, 

- puis, lorsque Putiiisateur veut participer a un jeu ou prendre un pari : 

- il s'identifie en fournissant un identifiant, et/ou un numero d'abonne, 
10 - il seiectionne le jeu sur lequel il souhaite miser, 

- I'utilisateur recoit, par I'intermediaire d'un deuxieme support de 
communication (par exemple telephone portable ou pageur), un certificat de 
transaction assorti de la mise et du pari, en clair, et 

- il verifie ta mise et le pari 

15 - il tape le certificat de transaction sur le clavier de son terminal, 

- le certificat de transaction est verifie (mise, pari, chiffres, 
combinaison). " 

Pour une application a la foumiture d'offres personnalisees mettant 
en oeuvre la presente invention, le reseau utilise est le reseau mondial connu sous 
20 le nom d'«internet». L'objectif de cette application est d'identifier les demandes du 
consommateur en amont de I'acte d'achat et de lui faire des offres personnalisees 
correspondant a sa demande. 

Dans cette application, lore de sa premiere connexion : 

- le consommateur se met en relation avec le service, 

25 - il s'identifie en fournissant un identifiant et/ou un numero d'abonne, 

- il recoit, par I'intermediaire d'un deuxieme support de communication 
(par exemple telephone portable ou pageur), un mot de passe jetable, 

- it tape le mot de passe jetable sur le clavier de son terminal, et 

- il remplit un questionnaire marketing permettant de definir les types 
30 de propositions commerciales a lui adresser. 

Lorsqu'une proposition commerciale correspondant a sa demande lui 
est adressee, le consommateur recoit un message «d'alerte», par I'intermediair du 
deuxieme support de communication. Au cours de la deuxieme connexion : 
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- le consommateur se met alors en relation avec le service, 

- il s'identifie en fournissant un identifiant et/ou un numero d'abonne, 

- il regoit, par I'intermediaire d'un deuxieme support de communication, 
un certificat de message, 

5 - il tape le certificat de message sur le clavier de son terminal, 

- il accede a la bolte aux lettres personnelle et confidentielle qui 
contient !a proposition commerciale, 

- il consulte la proposition. 
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REVEND1CATI0NS 

1. Precede de transmission d'information sur un premier support de 
communication, caracterise en ce qu'il comporte : 

5 - une operation d'ouverture d'une session de communication avec un 

moyen de communication situe a distance, sur (edit premier support de 
communication, 

et, durant ladite session : 

. une operation de reception d'une information confidentielle sur 
10 un terminal a adresse unique sur un deuxieme support de 

communication, et 

. une operation de transmission, sur ie premier support de 
communication, d'un message confidentiel representatif de ladite 
information confidentielle. 

15 

2. Procede de transmission d'information sur un premier support de 
communication, caracterise en ce qu'il comporte : 

- une operation d'ouverture, par P intermedial re d'un terminal a adresse 
unique sur ledit premier support de communication, d'une session de communication 
20 avec un moyen de communication situe a distance, 
et, durant ladite session : 

. une operation de reception d'une information confidentielle sur 
le premier support de communication, et 

. une operation de transmission, sur un deuxieme support de 
25 communication, d'un message confidentiel representatif de ladite 

information confidentielle. 



3. Procede de transmission d'information sur un premier support de 
communication, caracterise en ce qu'il comporte : 
30 - une operation d'ouverture, par I'intermediaire d'un premier terminal, 

d'une session de communication avec un moy n de communication situe a distance, 
sur ledit premi r support de communication, 
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.i 

- une operation d'ouverture, par I'intermediaire d'un deuxieme terminal, 
d'une session de communication avec un moyen de communication situe a distance, 
sur un deuxieme support de communication, 

- lorsque les deux sessions sont ouvertes, une operation de reception 
d'une information confidentielle sur un desdits supports de communication sur lequel 
Tun des terminaux a une adresse unique, et 

- une operation de transmission, sur I'autre desdits supports de 
communication, d'un message confidentiel representatif de iadite information 
confidentielle. 



4. Precede de transmission d'information sur un premier support de 
communication, caracterise en ce qu'il comporte : 

- une operation d'ouverture d'une session de communication avec un 
moyen de communication situe a distance, sur ledit premier support de 

15 communication, 

et, durant ladite session : 

. une operation de generation d'une information confidentielle et 
de transmission de ladite information confidentielle, a un terminal 
a adresse unique sur un deuxieme support, 

20 . une operation de reception, sur le premier support de 

communication, d'un message confidentiel susceptible d'etre 
representatif de ladite information confidentielle, et 
. une operation de verification de correspondance entre ledit 
message confidentiel et ladite information confidentielle, 

25 

5. Procede de transmission d'information sur un support de 
communication dit "deuxieme", ledit support de communication faisant partie d'un 
reseau de communication, caracterise en ce qu'il comporte : 

- une operation de reception, de la part d'un terminal dit "deuxieme", 
30 d'un premier message representatif : 

. d'un identifiant d'un terminal dit '^roisieme" poss 'dant une 
adresse unique sur ledit reseau, 



BNSDOCID: <WO 99236 17A2_I_> 



WO 99/23617 PCT/FR98/02348 

- 50- 

. d'une information confidentielle, 

. d'une information representative d'un montant de transaction, 

- une operation de transmission, au troisieme terminal, d'un deuxieme 
message representatif : 

5 . de ladite information confidentielle et 

. dudit montant, 

- une operation de reception d'un troisieme message, de fa part dudit 
deuxieme terminal, representatif d'une validation de transaction, et 

- une operation ^incrementation d'un registre correspondant audit 
10 troisieme terminal, d'une valeur representative d'une duree de la premiere session. 

6. Precede de transmission d'information sur un support de 
communication dit "deuxieme", ledit support de communication faisant partie d'un 
reseau de communication, caracterise en ce qu'il comporte : 

15 " une operation de reception, de la part d'un terminal dit "deuxieme", 

d'un premier message representatif : 

" . d'un identifiant d'un terminal dit "troisieme" possedant une 
adresse unique sur ledit reseau, 
d'une information confidentielle, 
20 * d ' une information representative d'un montant de transaction, 

- une operation de transmission, au troisieme terminal, d'un deuxieme 
message representatif : 

. de ladite information confidentielle et 
. dudit montant, 

25 " une operation d' incrementation d'un registre correspondant audit 

troisieme terminal, d'une valeur predetermine. 

7. Procede de transmission d'information sur un support de 
communication dit "deuxieme", ledit support de communication faisant partie d'un 

30 reseau de communication, caracterise en ce qu'il comporte : 

- une operation de reception, de la part d'un terminal dit "deuxieme", 
d'un premier message representatif : 
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d'un identifiant d'un terminal dit "troisieme" possedant une 
adresse unique sur (edit reseau, 
. d'une information confidentielle, 

. d'une information representative d'un montant de transaction, 
5 - une operation de transmission, au troisieme terminal, d'un deuxieme 

message representatif : 

. de ladite information confidentielle et 
. dudit montant, 

- une operation de reception d'un troisieme message, de la part dudit 
10 deuxieme terminal, representatif d'une validation de transaction, et 

- une operation ^incrementation d'un registre correspondent audit 
troisieme terminal, d'une valeur representative dudit montant de transaction. 

8. Procede de transmission d' information, entre un premier et un 
15 deuxieme terminal, sur un premier support de communication appartenant a un 
reseau de communication, caracterise en ce qu'il comporte : 

- une operation d'ouverture de session de communication, sur le 
premier support de communication entre le premier et le deuxieme terminal et 

- une operation de transmission, de fa part du deuxieme terminal a un 
20 troisieme terminal raccorde a un deuxieme reseau et possedant une adresse unique 

sur ledit deuxieme reseau, d'un premier message representatif d'une information 
confidentielle, 

- une operation de transmission, a une adresse sur ledit reseau qui 
correspond audit troisieme terminal d'un deuxieme message representatif de ladite 

25 information confidentielle, et 

- une operation de transmission, sur le premier support de 
communication, en provenance du premier terminal et a destination du deuxieme 
terminal, d'un message representatif de ('information confidentielle. 

30 9 - Procede de transmission d'information sur un premier support de 

communication faisant partie d'un reseau de communication, caracterise en ce qu'il 
comporte : 
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- une operation de reception, de la part d'un premier terminal, d'un 
premier message representatif : 

. d'un montant d'une transaction envisagee, 
. d'un identifiant d'un debiteur, 

- une operation de transmission, sur un deuxieme support de 
communication, a un serveur bancaire, d'un deuxieme message representatif : 

. dudit montant, 
. d'un identifiant dudit debiteur 
d'une demande d'autorisation de debit, 

- une operation de reception ou non de ia part dudit serveur bancaire, 
d'un troisieme message representatif d'une autorisation de debit, 

- lorsque I'autorisation est accordee, une operation de transmission, a 
un deuxieme terminal possedant une adresse unique sur un deuxieme reseau de 
communication, d'un quatrieme message representatif d'une information 

15 confidentielle, 

- une operation de reception, de la part dudit premier terminal, d'un 
cinquieme message representatif de ladite information confidentielle, 

- une operation de verification de correspondance entre le message 
confidentielle et ('information confidentielle. 

20 

10. Procede de transmission d'information sur un premier support de 
communication faisant partie d'un reseau de communication, caracterise en ce qu'il 
comporte : 

- une operation de reception, de la part d'un premier terminal, d'un 
25 premier message representatif : 

. d'un montant d'une transaction envisagee, 
. d'un identifiant d'un debiteur, 

- une operation d'autorisation, ou non, de debit d'un compte bancaire, 

- lorsque I'autorisation est accordee, une operation de transmission, a 
30 un deuxieme terminal possedant une adresse unique sur un deuxieme reseau de 

communication, d'un deuxieme message representatif de ('information confidentielle, 

- une operation de reception, de la part dudit premier terminal, d'un 
troisieme message representatif de ladite information confidentielle, 



BNSDOCID: <WO 99236 17A2J_> 



WO 99/2361 7 PCT/FR98/02348 

-53- 

- une operation de verification de correspondence entre le message 
confidentielle et rinformation confidentielle et 

- dans ie cas ou la correspondence est veriftee, une operation de debit 
dudit montant sur ledit compte bancaire. 

5 

1 1 . Procede de transmission d'information seion l'une quelconque des 
revendications 1 a 10, caracterise en ce que rinformation confidentielle est 
representative d'un numero de session attribue a ladite session. 

10 12. Procede de transmission d'information selon Tune quelconque des 

revendications 1 a 11, caracterise en ce que rinformation confidentielle est 
representative d'un nombre pseudo-aleatoire. 

13. Procede de transmission d'information selon I'une quelconque des 
15 revendications 1 a 12, caracterise en ce que rinformation confidentielle est 

representative de I'heure et la date de ladite operation d'ouverture de session. 

14. Procede de transmission d'information selon I'une quelconque des 
revendications 1 a 13, caracterise en ce que rinformation confidentielle est 

20 representative d'un identifiant de I'utilisateur. 

15. Procede de transmission d'information selon I'une quelconque des 
revendications 1 a 14, caracterise en ce que rinformation confidentielle est modifiee 
a chacune des sessions. 

25 

16. Procede de transmission d'information selon I'une quelconque des 
revendications 1 a 15, caracterise en ce que rinformation confidentielle est 
representative d'un ou plusieurs numeros de compte bancaire et/ou de carte de 
paiement. 

30 

17. Procede de transmission selon I'une quelconque des 
revendications 1 a 16, caracterise en ce que, au cours de 1'operation de reception 
d'une information confidentielle, on recoit, en outre, un montant de transaction. 
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18. Procede de transmission selon I'une quelconque des 
revendications 1 a 17, caracterise en ce que, au cours de ('operation de 
transmission d'un message confidentiel representatif de ('information corifidentielle, 
5 on transmet, en outre, un montant de transaction. 



10 



15 



20 



25 



19. procede de transmission selon la revendication 9, caracterise en ce 
qu'apres I'operation de verification de correspondance, en cas de correspondance, il 
comporte une operation d' incrementation d'un compte au debit dudit debrteur. 

20. Procede de transmission selon I'une quelconque des 
revendications 9 ou 19, caracterise en ce qu'il comporte, apres I'operation de 
reception du premier message, une operation de lecture, dans une base de donnee, 
de I'adresse unique du deuxieme terminal sur le deuxieme reseau. 

21. Procede de transmission selon I'une quelconque des 
revendications 9, 19 ou 20, caracterise en ce qu'il comporte, apres I'operation de 
reception du premier message, une operation de lecture, dans une base de donnee, 
d'un identificateur dudit serveur bancaire. 

22. Procede de transmission selon Tune quelconque des 
revendications 1 a 21, caracterise en ce qu'il comporte une operation de saisie 
manuelle, au cours de laquelle I'utilisateur saisit un message confidentiel 
representatif de I'information confidentielle. 



23. Procede de transmission selon I'une quelconque des 
revendications 1 a 22, caracterise en ce qu'il comporte une operation de selection 
de transmission, au cours de laquelle, en fonction de criteres predetermines, ies 
transmissions sont classees en deux groupes, Tun concernant Ies transmission dites 
30 « a securiser » et I'autres Ies transmissions dites « normales », Ies transmissions 
normales ne donnant pas lieu a plus d'une operation de transmission sur un support 
de communication. 
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24. Procede de transmission selon la revendication 23, caracterise en 
ce que, au cours de ladite operation de selection, on met en oeuvre un montant 
limite de transaction, les transmissions dites « a securiser » etant celles auxquelles 
sont associees les montants de transaction superieurs audit montant limite. 

25. Procede de transmission selon I'une quelconque des 
revendications 1 a 24, caracterise en ce qu'il comporte une operation de 
transmission d'une adresse unique sur Tun desdits reseaux. 

26. Procede de transmission selon la revendication 25, caracterise en 
ce que, au cours de ladite operation de transmission d'une adresse unique, on 
transmet un certificat contenant une information representative du ladite adress 
unique. 

27. Procede de transmission selon la revendication 26, caracterise en 
ce que ledit certificat repond a un protocole de securisation de paiement et comporte 
une information representative de ladite adresse unique. 

28. Serveur informatique, caracterise en ce qu'il est adapte a mettre en 
oeuvre le procede de transmission selon I'une quelconque des revendications 1 a 

27. 

29. Ordinateur, caracterise en ce qu'il est adapte a mettre en oeuvre le 
procede de transmission selon I'une quelconque des revendications 1 a 27. 
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(57) Abstract 

The invention concerns the combined use of at least two communication networks and more precisely confidential data exchange to a 
first data medium user by means of a second data medium via a mechanism synchronising the data media and sending data from one medium 
to the other. The data transmission method on a first medium thus consists in: an operation for opening a communication session with means 
of communication remotely located, on said first communication medium; and during said session: an operation for receiving confidential 
information on a single address terminal on a second communication medium; and an operation for transmitting, on the first communication 
medium, a confidential message representing the confidential information; an operation for verifying whether the confidential message 
corresponds to the confidential information. 
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(57) Abrege - 

La prdsente invention propose l'utilisation comb in d'au moins deux reseaux de communication et plus precisement I'dchangef 
d'information confidentielle a un usagcr d'un premier support d'information a I'aide d'un deux i em e support d' information par I'intermddiaire 
d'un mecanisme de synchronisation des supports d'information et de renvoi d'information d'un support a l'autre. Le precede de transmission 
d'information sur un premier support comporte ainsi: une operation d'ouverture d'une session de communication avec un moyen de 
communication situ 6 a distance, sur ledit premier support de communication, et, durant ladite session: une operation de reception d'une 
information confidentielle sur un terminal a adresse unique sur un deuxieme support de communication, et une operation de transmission, sur 
le premier support de communication, d'un message confidentiel representant reformation confidentielle, une operation pour verifier si le 
message confidentiel correspond a ['information confidentielle. 
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